Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.


Monatsarchiv für Juli 2012

Darlehen

Donnerstag, 12. Juli 2012

Wir […]

Wer „ihr“ seid, wollt „ihr“ nicht sagen. Die Absenderadresse franz (at) msn (punkt) com klingt nicht gerade nach einem Kreditinstitut.

[…] bieten legitimen Darlehen […]

Erfreulich, dass die Darlehen „legitim“ sind.

[…] wie persönliche Kredite & Business-Darlehen ohne Sicherheiten (nur Identifikation) […]

Ohne Sicherheiten heißt: „Ihr“ verleiht Geld an jeden und kümmert euch nicht drum, obs zurückkommt. „Ihr“ arbeitet bestimmt mit diesen tollen Lotterien zusammen, bei denen man niemals ein Los kaufen muss, und doch ständig Millionengewinne macht. Die haben ja auch immer einen Geldbaum im Garten und wissen nicht, wohin mit dem ganzen Laub. Vermutlich sieht „euer“ Geschäftsmodell auch ähnlich aus – ein Darlehen gibt es nicht, aber dafür kassiert ihr ein paar „Gebühren“ ab, von denen „ihr“ euch ein fettes Auto und die täglichen Nutten leistet.

[…] mit maximaler Garantie, € 5.000 bis € 90.000.000, […]

Wow, neunzig Millionen Euro ohne Sicherheiten als Darlehen! 😯

[…] die Zinsen niedrig wie 3% in 1 Jahr […]

Wenn man schon keine Sicherheiten von den Darlehensnehmern will, muss man ja auch keine hohen Zinsen nehmen. Und…

[…] bis 50 Jahre Tilgungsfrist […]

…Zeit dürfen sich die Empfänger beim Zurückzahlen auch lassen. Denn „wir“, die „wir“ nicht einmal sagen, wer „wir“ sind, sind ein ganz wirres Kreditinstutut. Unsere Angebote sind so unwiderstehlich und konkurrenzlos günstig, dass wir dafür keine normale Reklame machen und eine Info-Website aufsetzen, sondern lieber schlecht formulierte, kriminelle Spam massenhaft in wehrlose virtuelle Postfächer stecken. Und weil „wir“ so richtig große Stümper sind, machen „wir“ das…

[…] überall in der Welt

…gleich weltweit.

Eine Antwortadresse oder eine Website wurde nicht angegeben, so dass man seine Antwort an franz (at) msn (punkt) com senden müsste, wenn man derartige Angebote interessant findet. Nicht einmal für die geringe Investition in eine Wegwerfdomain mit plausiblen Domainnamen haben diese zertifizierten Schwachköpfe eine handvoll Euro investieren wollen – vermutlich, weil sie alles bis auf den letzten Cent als Darlehen rausgeben. 😈

Angebliche „Heidt Group“ macht „Angebote im Netz“

Mittwoch, 11. Juli 2012

Oh, was für eine Flut mal wieder! Da sage niemand, dass es keine Arbeit gäbe – die „Jobs“ als Hilfsgeldwäscher sind jedenfalls immer zu haben, weil die Polizei nicht untätig ist und die Leute erwischt und vor Gericht bringt. Dort können sie dann einem Richter erklären, warum sie im Rahmen der organisierten Kriminalität Geldwäsche betrieben haben und gegen das Kreditwesenkontrollgesetz verstoßen haben. Beides übrigens keine Kavaliersdelikte, sondern eine sichere Vorstrafe. Und wer glaubt, dass damit alles gegessen wäre: Hinterher kommt die zivilrechtliche Haftung, bei der man den gesamten angerichteten Schaden bezahlen darf. Eine Vorstrafe, in vielen Fällen ein Aufenthalt in der Justizvollzugsanstalt und Schulden in sechsstelliger Höhe: Kein Wunder, dass diese „Jobs“ nicht über den normalen Arbeitsmarkt laufen, sondern über den Dummenfang der Spam.

Die folgende Mail ist heute an sehr viele Adressen teils mehrfach gegangen und kommt inhaltlich unverändert mit diesen Betreffzeilen:

  • Informationen zur JOBBORSE
  • Angebote im Netz
  • Arbeitsmarkt Naturwissenschaften
  • Wir suchen einen Operationsmanager

Der Absender ist immer die Empfängeradresse. Es ist also auch für den Dümmsten ganz offensichtlich, dass der Absender gefälscht ist. Damit sollte auch für den Dümmsten völlig klar sein, womit er es hier zu tun hat: Mit Kriminellen. Wer trotzdem noch drauf reinfällt und glaubt, er bekäme von Kriminellen über den Weg illegaler Spam ein seriöses und legales Jobangebot zugestellt, sollte sich dringend einen Vormund bestellen lassen, weil er offenbar nicht mehr geschäftsfähig ist.

Und nun zur Spam:

Wir suchen einen Operationsmanager.

Eine Anrede gibt es nicht, weil diese Mail mit unveränderten Text millionenfach zugestellt wird.

Tolle Jobbezeichnung, die ihr euch da mal wieder ausgedacht habt. Klingt irre wichtig. Genau das, was nicht nicht ohne kriminelle Spam loswird.

ÜBER UNS
Heidt Group bietet den auf den Erfolg gezielten Leitern und Manager Dienstleistungen für Aufbau eines erfolgreichen Business an. Dafür stellen wir Ihnen unsere Kenntnisse und Erfahrungen zur Verfügung.

Wir erreichen Erfolge auf jedem Gebiet dank der engen Zusammenarbeit unserer Fachleute mit den Mitarbeitern des Kunden, sowie dank der pflichtigen Ausbildung [sic!] des Kundenpersonals zur Realisierung der von uns ausgearbeiteten Innovationen [sic!].

Angebliches Heidt Group tolle Firma mit tolles Geschäftsfeld machen pflichtig ausgebildetes Manager zu Miete. Suchen Typs mit Kenntnisses und Erfahrungens über Spam. Nichts zu tun habens mit echte Unternehmung dieses Namens.

Ja, die Spammer haben einfach die Firmierung einer anderen Unternehmung genommen und mit ihren kriminellen Machenschaften in den Schmutz gezogen. Das ist den Spammern egal. Wer mir nicht glaubt, dass die Heidt Group nichts mit den Mails zu tun hat, kann dort gern einmal anrufen – aber bitte nicht darüber wundern, wenn man sehr genervte Gesprächspartner an der Strippe hat, die heute den ganzen lieben Tag lang zu nichts anderem kommen. Im gleichen Büro werden fluchende Mitarbeiter sitzen, die eine Hassmail nach der anderen lesen und schon keine Lust mehr haben, darauf freundlich zu antworten – zumal der Anlass gar nichts mit der Heidt Group zu tun hat, sondern nur der Missbrauch dieser Firmierung durch asoziale Kriminelle ist. Der Schaden durch gebundene Arbeitskraft bei der Heidt Group dürfte erheblich sein.

Ich habe jedenfalls auf einen solchen Anruf verzichtet und mich mit einen Blick in die Mailheader begnügt. Wer das nicht kann, sollte sich nur in aller Ruhe die Frage stellen, warum die angebliche „Heidt Group“ der Spammer nicht die Firmenhomepage der Heidt Group verlinkt hat. Zur Eindämmung des angerichteten Schadens empfehle ich den Website-Gestaltern der Heidt Group übrigens, so schnell wie möglich ein kurzes, klärendes Statement auf der Startseite unterzubringen. Es kann in den nächsten Tagen viel Geld und viel Nerven bei den Mitarbeitern sparen.

STELLUNG: Operationsmanager | STATUS: OFFEN

Ach! Die angebotene „Stelle“ ist offen… :mrgreen:

AUFGABEN:
– den Zahlungsstrom kontrollieren;
– Berichte über die Aufträge sorgfältig abfassen.

Wenn diese „Aufgabenbeschreibung“ zu kurz ist, habe ich hier auch eine ausführlichere Beschreibung vorliegen, die völlig klar macht, das man Geldwäsche durchführen soll.

ANFORDERUNGEN:
– Hochschulreife oder Abschlusszeugnis bevorzugt;
– Zu unterschiedlichen Aufgaben bereit;
– Liebe zum Detail.

Wer zu allem bereit ist (der Schulabschluss ist eigentlich egal, da steht nur etwas von einer Bevorzugung, aber die nehmen jeden, der dumm genug ist), der ist ideales Verschleißmaterial für diese Verbrecher. Berufserfahrungen sind nicht nötig, es geht nur um Geld. Deshalb geht das „Angebot“ an Unbekannte, die eigentlich nichts können müssen. Liebe zum Detail muss man ungefähr so viel haben wie der Verfasser dieser kriminellen Strunzmail: Gar keines.

BEWERBEN SIE SICH JETZT:
Bitte senden Sie Ihre Bewerbung an Geoffrey (at) neuearbeitde (punkt) com,und es wird an unsere Personalabteilung weitergeleitet.

Bitte nicht die Mail beantworten, inden man in der Mailsoftware auf „Beantworten“ klickt, denn der Absender ist gefälscht. Die Domain der Empfängermailadresse wurde gestern erst von einem angeblichen Henry I. Robinson registriert – Name und Anschrift, die für die Registrierung verwendet wurden, dürften genau so eine Lüge sein, wie es die Verwendung (und damit Beschädigung) der Firmierung Heidt Group ist.

Diese Spam wurde automatisch erstellt und ist ohne Grußformel und Unterschrift gültig. Wer auf Form wert legt, ist nämlich in der Regel zu intelligent, um auf diese Betrüger hereinfallen zu können.

Newsletter

Montag, 9. Juli 2012

Ach so nennt ihr das jetzt.

If you can’t see this email, click here

Try our new shop with much better prices

Leider kann ich diese Müllmail sehen. Und ihr glaubt wirklich, die würde mich zum Klicken animieren? Kann ich verstehen: Katzen im Sack waren ja schon immer eine total begehrte Ware, vor allem, wenn man sich daran ein hässliche Infektion holen kann. :mrgreen:

Yahoo als Spam-Drehscheibe

Samstag, 7. Juli 2012

Keine Spam, sondern ein Hinweis auf eine aktuelle Meldung bei Heise Online:

Unbekannte Spam-Versender haben offenbar eine Methode entwickelt, Mailkonten bei Yahoo massenhaft und automatisiert anzulegen. Seit Anfang Juni gehen immer wieder heftige Spam-Angriffe von Yahoos Mailservern aus […]

Ein wie auch immer geartetes Botnetz scheint jedenfalls involviert zu sein, denn nicht nur die Mail-Inhalte, sondern auch die von Yahoo in den Mail-Kopfzeilen dokumentierten IP-Adressen der Absender variieren stark. Das deutet darauf hin, dass der Spam seinen Weg über sehr viele, vermutlich verseuchte und ferngesteuerte Clients seinen Weg in die Yahoo-Infrastruktur findet.

Dies nur als eine Antwort auf die Frage, warum Spammer Interesse daran haben können, heimlich Schadsoftware zu installieren. Natürlich gibt es noch etliche Anwendungen mehr, zum Beispiel manipuliertes Online-Banking und den Missbrauch von persönlichen Accounts für betrügerische Geschäfte.

Wer in eine Spam klickt, ist selbst die Spam. Denn auf diese Weise wird das Biotop geschaffen, in dem Spam überhaupt erst so möglich ist, wie sie heute betrieben wird.

Es sind 950.00 Euro von Ihrem Bankkonto in SPARKASSE zu begleichen.

Donnerstag, 5. Juli 2012

Sehr geehrter Kunde,

Wir haben die Anfrage auf die Abschreibung [sic!] von 950.00 Euro von Ihrem Bankkonto in SPARKASSE für die Begleichung der Anlieferung von Dokumenten [sic!] bekommen.
Die Abschreibung von Geldmitteln und weitere Sendung von Dokumenten [sic!] erfolgen in 24 Stunden.

Vgl. Angaben des Auftrages

Mit freundlichen Grüßen, Kundenunterstützungsdienst [sic!] der Bank SPARKASSE.

Hey, Opfer,

ich spiel jetzt mal Sparkasse, oder genauer, ich spiele jetzt mal den Kundenunterstützungsdienst der Bank Sparkasse. Mein Deutsch sieht zwar aus, als hätte ich die Anfrage auf die Abschreibung meines Hirnes zustimmend beschieden, aber ich will ja auch nur Dumme fangen. Die wundern sich nicht darüber, dass ihre eigene Mailadresse im Absender steht, die fragen sich auch nicht, warum sie sonst nicht für jede Abbuchung eine Mail von ihrer Sparkasse bekommen, die sind einfach nur alarmiert und klicken.

Und damit holen du dir eine aktuelle Kollektion von Schadsoftware auf deinen Rechner.

Der Link ist nämlich eine Weiterleitung auf eine Website, die nicht über einen Domainnamen, sondern direkt über ihre IP-Adresse 184.173.28.4 aufgerufen wird und dort die folgende JavaScript-Wüste ausliefert, die im Moment so auffallend häufig mit Spamklicks zur Ausführung gebracht werden soll. Hast du bestimmt schon einmal auf „Unser täglich Spam“ gesehen, sowas:

Was man sich mit einem Klick in diese Spam einfängt

[Recht variabel, der generierte JavaScript-Code. Vor allem dort, wo das Schlüsselwort eval versteckt werden soll. Das hat auch einen Grund. Virenscanner sollen es möglichst schwer haben, diesen Crackversuch zu erkennen.]

Komm, klick schon! Ich brauche neue Bots! Ich will deinen Rechner zum Spammen und als Webserver für meine kriminellen Machenschaften missbrauchen, ich will deine Adressbücher auslesen, ich will dein Online-Banking manipulieren und in deinem Namen und über deinen Internetzugang betrügerische Geschäfte im Internet machen, damit die Polizei zu dir kommt und nicht zu mir. Klick schon! Hey, 950 Euro hast du nicht einfach so übrig! Mach schon! Klick!

Danke!
Dein spammender Idiotenfänger

Spam nicht erkannt?

Sorry, wer hier nicht bemerkt, dass es sich um eine Spam handelt und den Sondermüll sofort löscht, sollte besser gar nicht erst am Internet teilhaben. Hier eine Liste der „kleinen“ Indizien, die leider länger wird als die Spam selbst, weil der unbekannte Autor des Mailtextes nicht so sehr mit Intelligenz und Sprachbegabung gesegnet ist:

  1. Die Sparkasse versendet solche Mails nicht. Sie versendet Kontoauszüge und Briefe.
  2. Das Bankgeheimnis macht es rechtswidrig, Informationen zur Höhe einer Kontobewegung in einer offenen, für jeden mitzulesenden Mitteilung zu transportieren¹.
  3. Die Sparkasse benennt sich nicht als „Bank Sparkasse“.
  4. Die Sparkasse weiß, wie ihre Kunden heißen und spricht sie nicht als „Sehr geehrter Kunde“ an.
  5. Die Sparkasse spricht von Abbuchungen, nicht von Abschreibungen.
  6. Die Sparkasse versendet keine Mail für derartige Abbuchungen. Jeder Mensch, der Rechungen „bequem“ über Bankeinzug bezahlt, sollte aus Erfahrung wissen, dass das nicht zur Folge hat, dass für die einzelnen Abbuchungen derartige Mails ankommen.
  7. Wenn die Sparkasse dennoch derartige Mails versendete, schriebe sie darin auch, wer das Geld empfangen soll, damit die Mitteilung für den Kunden erst nützlich ist.
  8. „Begleichung der Anlieferung von Dokumenten“ ist der blödeste denkbare Verwendungszweck.
  9. Kontonummer des Kunden? Viele Menschen haben mehrere Konten.
  10. „Angaben des Auftrags“ nennt man auf Deutsch Auftragsangaben. Die Sparkassen und Banken in Deutschland schreiben Deutsch.
  11. Apropos Sprache: „die Abschreibung von Geldmitteln“ heißt auf Deutsch „die Abbuchung des Geldes“. Der Deutschbeauftragte der Spammer hat vermutlich gerade Urlaub.
  12. Die Sparkasse würde eine Telefonnummer für Rückfragen angeben.
  13. Die Sparkasse würde den Namen eines Mitarbeiters zusammen mit seiner Durchwahlnummer unter die Grußformel schreiben, wenn es um einen ungewöhnlichen Vorgang ginge, der aufgefallen ist.
  14. Ach, der Brüller: „Kundenunterstützungsdienst“. 😆

Schon zwei bis drei dieser Punkte reichen aus, um den Dreck sicher als Spam zu erkennen. Schon eine einzige derartige Unstimmigkeit (wie das Fehlen der Kontonummer oder einer persönlichen Ansprache) ist Grund genug, mit der Mail gar nichts zu machen und in Fällen von verbleibender Unsicherheit einfach mal in der kontoführenden Filiale anzurufen und nachzufragen, ob die Mail echt ist. So ein Hetzversuch wie „in 24 Stunden“ ist bedeutungslos, weil eine fehlerhafte oder rechtswidrige Transaktion selbstverständlich rückgängig gemacht werden kann – schon an diesem kleinen Detail zeigt sich der kriminelle Spamcharakter des Machwerkes. Und selbst, wenn die Spam völlig überzeugend formuliert wäre, sollte sich jeder darüber klar sein, dass die Kreditinstitute derartige Mail-Mitteilungen nicht machen. Weil sie diese gar nicht machen dürfen.

Leider steht nämlich zu befürchten, dass derartige Versuche nicht immer so lächerlich bleiben werden.

¹Falls sie es noch nicht wissen: Eine unverschlüsselte E-Mail ist offen wie eine Postkarte. Und sie kann über etliche Server laufen. Auf jedem dieser Server kann sie mitgelesen werden.

PERSONALLY FOR YOU

Mittwoch, 4. Juli 2012

01/07/2012

Nur, damit du nicht das Datum vergisst, wenns auch das von vorgestern ist.

Dear Friend,

Ich habe keine verdammte Ahnung, wer du bist, aber…

I am Capt. Anita Schrumm MS RD LD, USA MIL – MEDCOM -AMEDCS; I was Staff Dietitian at Walter Reed Army Medical Center, before I was deployed to Camp Arifjan Kuwait, from there to Camp Al-Tadamun Adhamiyah-Baghdad, presently am in Camp Gibraltar Afghanistan on national duties.

…ich bin ein Offizier der US-Streitkräfte, der schon überall im Einsatz war. Okay, in Wirklichkeit bin ich natürlich ein dummer Betrüger, aber das klingt nicht so gut, deshalb schreibe ich ein paar Lügen. Allerdings werde ich dir aus Sicherheitsgründen – ich muss ja sicher gehen, dass nur besonders leichtgläubige Deppen auf meine Spam reinfallen – noch nicht alle meine Lügen erzählen, sondern dich erstmal eine Meldung der BBC betrachten lassen:

For security reasons, I will ‚not‘ disclose certain information’s for now until you have accessed the BBC website stated below to enable you have an insight on what I intended sharing with you, which I am confident you can handle if we are able to come to an agreement.

http://news.bbc.co.uk/2/hi/middle_east/2988455.stm

Diese BBC-Meldung hole ich immer wieder mal gern hervor, zum Beispiel im Juni 2010 unter dem falschen Namen Capt. Scott J. Wilson oder kürzlich erst und übrigens ganz besonders „köstlich“ im April 2012 als Sgt. Kris Herbert. Bei meinen damaligen betrügerischen Mails kannst du auch jetzt schon nachlesen…

Kindly respond back to me after visiting the above website to enable us discuss further about the transaction.

…was für tolle Lügen ich dir noch alles erzählen werde, wenn du auf meine längst verbrauchte Betrugsnummer abfährst.

Please send your response to my private email account:
captaingraceschrumm1 (at) rediffmail (punkt) com

Bitte beantworte die Mail nicht, indem du auf Antworten klickst, denn mein Absender ist natürlich gefälscht.

Thanks,
Captain: Anita Schrumm MS RD LD

Danke
Dein Vorschussbetrugsdummspammer

Es ist ein Problem aufgetreten: Unsere Einzahlung eines Betrages von 15.000,00 Euro auf Ihr Bankkonto bei Sparkasse

Montag, 2. Juli 2012

Hui, im Moment lassen sich die Spammer aber viel einfallen, um Rechner mit Schadsoftware zu infizieren, um sie für ihre kriminellen Machenschaften zu übernehmen. Also Vorsicht! Niemals in eine derartige Spam reinklicken!

Guten Tag,

Ich habe keine Ahnung, wer du bist, denn ich bin ein Spammer. Du hast auch keine Ahnung, wer ich bin, denn ich habe keinen Namen. Wenn du auf den Absender der Mail schaust, wirst du feststellen, dass diese Mail behauptet, von dir selbst zu kommen.

im Auftrag unseres Kunden haben wir eine Einzahlung in Höhe von 15.000,00 Euro auf Ihr Sparkasse-Bankkonto [sic!] vorgenommen.

Obwohl ich dich gar nicht kenne und nicht mit deinem Namen ansprechen kann, wollte ich dir gerade dreißig lila Lappen auf dein „Sparkasse-Bankkonto“ mit einer nicht genannten Kontonummer bei einem nicht genannten Kreditinstitut überweisen. Und zwar im Auftrag eines „Kunden“, der ebenfalls am heutigen Namensmangel teilhat.

Unsere Bank hat uns mitgeteilt, dass die Überweisung aufgrund eines Fehlers in der Angabe Ihrer Zahlungsdaten nicht abgeschlossen werden kann.

Meine Bank – ebenfalls vom Namensmangel betroffen – hat mir mitgeteilt, dass mein Konto nicht gedeckt ist… ach nee, falscher Text! Sei doch bitte mal so bescheuert, dass du einer derartig drilllyrisch vorgetragenen Strunzgeschichte glaubst und…

Bitte überprüfen Sie die Angaben und Bestelldaten auf unserer Webseite.

Bestelldaten überprüfen

…klick auf meinen tollen Link!

Diesen Link gibt es in meinem Posteingang in etlichen Ausführungen unter etlichen Domains, so dass sich die Aufzählung nicht lohnt.

Wie, du bist gar nicht so doof und glaubst mir nicht, dass dir jemand so viel Zaster geben will, ohne dass du weißst, wofür? Dann sei doch bitte so doof…

Falls Sie Rückfragen haben, nehmen Sie bitte Kontakt mit uns auf.

…und klick trotzdem auf meinen tollen Link! Weil: Anrufen kannst du mich nicht, ich habe keine Telefonnummer für Rückfragen angegeben. Und wenn du die Mail wie gewohnt beantwortest, dann schreibst du an dich selbst, weil ich den Absender gefälscht habe. Schließlich bin ich ein krimineller Spammer, und ich will von dir nur, dass du klickst.

Abteilung Rechnungswesen

Eine namenlose Abteilung eines namenlosen Absenders aus dem Land der namenlosen Doofheit.

Ein Klick auf einen der beiden Links führt geradezu in eine Wüste aus Weiterleitungen, die teils über HTTP und teils über JavaScript realisiert sind. (Ich habe das in Handarbeit, nicht mit einem Browser, verfolgt, und es war kein Vergnügen.) Auf dem Weg zum Ziel liegt mindestens ein IFRAME, in dem der erste Versuch einer Infizierung des Rechners läuft. Am Ende landet man immer auf einem Webserver, der auf einer dynamischen IP betrieben wird. Davon sind mehrere im Einsatz, vermutlich werden Bots als Webserver missbraucht. Dieser Webserver liefert vorsätzlich kryptisch gestaltetes JavaScript aus, von dem ich hier gern einen schnellen, ersten Eindruck gebe:

Quelltext der kriminellen Zielseite dieser Spam

Natürlich schaue ich mir die Websites nicht mit einem „normalen“ Browser an, sondern verwende lynx -mime_header, um mit einem Texteditor einen ersten Blick darauf zu werfen. Ein Klick in eine Spam ist russisches Roulette. Die Kriminellen sind technisch auf dem neuesten Stand, so blöd ihre Spams auch manchmal aussehen mögen. Und nein: Ich benutze kein Windows. Der Klick in eine Spam ist immer und mit jedem Betriebssystem russisisches Roulette. Und so genannte Antivirenprogramme und so genannte Personal Firewalls sind keine ausreichende Sicherung gegen die Wucht dieser Kriminalität, sondern hinken den Kriminellen immer ein paar Tage hinterher. Wer nicht weiß, wie man sich dabei absichert, sollte gar nicht daran denken, sich die Machwerke der Spammer anzuschauen!

Es gibt genau einen Grund, das JavaScript-Schüsselwort eval so zu verstecken, wie es hier geschehen ist: Um es an Antivirenprogrammen vorbeizubringen. Dem gleichen Zweck dient die in diesem Fall recht aufwändige „Verschlüsselung“ des auszuführenden Codes. Es ist an sich gar nicht mehr nötig, diese Wüste lesbar zu machen, da schon bei einer Betrachtung völlig klar wird, dass sich jemand lieber verbergen will und wohl einen guten Grund dazu hat. Das „Dechiffrieren“ (im Wesentlichen: Ausgeben anstelle von Ausführen) des JavaScript-Codes zeigte mir, dass da jemand verschiedene, obskur wirkende Tricks mit dem Flash-Plugin ausprobiert, die ich nicht mehr im einzelnen verstehen will. Es handelt sich völlig sicher um einen Versuch, den Rechner mit Schadsoftware zu übernehmen.

Zu diesem JavaScript-Flash-Versuch kommt es noch zur Einbettung eines unsichtbaren Java-Applets, das vermutlich Sicherheitslücken in verschiedenen Java-Implementationen ausbeuten wird.

Wer auf diesen Link in der Spam geklickt hat, hat vermutlich verloren und der Rechner auf seinem Tisch ist jetzt ein Rechner anderer Leute… außer, er verwendet Browser-Plugins wie NoScript, die einen solchen Crack-Versuch an der Wurzel unterbinden oder schaltet – trotz allem Gejuchzes der Reklamebranche über HTML 5 – JavaScript generell ab. Websites, die etwas mitzuteilen haben, schaffen das nämlich auch, ohne dass man einem unbekannten Gegenüber aus dem Web das Privileg einräumt, Code innerhalb des Browsers auszuführen.

Und selbst, wenn derartige Vorsichtsmaßnahmen getroffen wurden, empfiehlt es sich, Spams sicher als solche zu erkennen, niemals in eine Spam zu klicken und derartigen Sondermüll so unbesehen wie möglich zu löschen. Woran man diese Spam erkennen kann, wird ja in meinem galligen Kommentar deutlich… 😉

YouTube Service sent you a message: Your video on the TOP of YouTube

Montag, 2. Juli 2012

Hui, und sogar an die Mailadresse, mit der das YouTube-Konto wirklich registriert wurde! Und mit dem gefälschten Absender service (at) youtube (punkt) com! Warum „YouTube“ wohl nicht die Infrastruktur von Google, sondern einen Rechner mit dynamischer IP-Adresse eines polnischen Zugangsproviders für den Mailversand verwendet? Ach ja, weil das eine Spam ist, die mit einer besonders tollen Masche Menschen zum Klicken bringen will:

YouTube Service has sent you a message:

Your video on the TOP of YouTube
To: exxxxxxxr (at) googlemail (punkt) com

http://www.youtube.com/watch?v=27blU03a&feature=topvideos_mp

You can reply to this message by visiting your inbox.

Wer auf irgendeinen der Links klickt, kommt nicht etwa auf die Seiten von YouTube, sondern auf eine „kanadische Pimmelpillen-Apotheke“, die aber auch nur vordergründig ist. Während der Betrachter sich über diesen unerwarteten Anblick einige Sekunden lang wundert, läuft in einem unsichtbaren IFRAME eine recht umfassende Attacke auf den Browser ab. Wenn diese Erfolg hatte, hat man eine frische Sammlung von Schadsoftware auf seinem Rechner.

Deshalb klickt man eben nicht in Spams.

Wie hätte man die Spam erkennen können

Nicht jeder wird bei solchen Mails in den Mailheader schauen, um mit Hilfe eines whois-Tools festzustellen, dass es sich um eine Spam handelt. Auch, wer diese Mühe scheut, kann die Spam sicher erkennen

Sprache – YouTube würde mich in meiner eingestellten Sprache anmailen, die natürlich Deutsch ist.

Anrede – YouTube würde mich auch ansprechen, und zwar mit meinem bei YouTube gewählten Nick.

Videolink – YouTube weiß doch, wie ich das Video genannt habe, das da angeblich gerade so viel Aufmerksamkeit auf sich zieht. Deshalb würde in einer HTML-Mail von YouTube der Name des Videos verlinkt, den ich im Gegensatz zur URL des Videos leicht wiedererkenne.

Allein diese drei Kriterien sollten bereits ausreichen, um auf diese Masche nicht hereinzufallen. Es gibt aber noch einen vierten, ungleich stärkeren Beleg dafür, dass es sich bei dieser Mail um eine Spam handelt, den man ebenfalls vor jedem Klick sehen kann:

Links – Wenn der Mauszeiger über dem Link ist, wird in der Statusleiste der Mailsoftware (oder bei Webmailern: des Browsers) die Linkadresse sichtbar, ohne dass man darauf klicken muss, um die verlinkte Seite anzusurfen. Im Falle dieser Spam liegt die Linkadresse in der Domain pattours (punkt) net, was ganz sicher nicht die YouTube-Website ist. Das gilt auch für den angeblichen Link auf das Video, der ja zu YouTube führen soll. Solche „Tricksereien“ haben nur kriminelle Spammer nötig. Eine so verlinkte Website ist eine klare Empfehlung, einen ganz großen Bogen darum zu machen.

Ein kurzes Nachdenken und ein bisschen Vorsicht vor einem Klick kann einem eine Menge Ärger ersparen. Es ist noch nicht einmal technisches Wissen erforderlich, um diese Spam als solche zu erkennen und „artgerecht“ durch Löschung zu behandeln. Dieses kurze Nachdenken und Quäntchen Vorsicht empfiehlt sich besonders bei aufrüttelnden, spektakulären Mailinhalten wie etwa der Behauptung, dass sich gerade die halbe Welt wie verrückt ein Video auf YouTube anschaut. Denn das ist zumindest bei den Videos, die ich mal hochgeladen habe…

…mehr als nur ein bisschen unwahrscheinlich. 😉

Und das ist auch das fünfte Kriterium zur sicheren Erkennung der Spam – jedenfalls bei den meisten Empfängern dieses miesen kriminellen Versuchs.