Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.


Monatsarchiv für März 2013

Spam mit namentlicher Anrede: Woher kommen die Daten?

Freitag, 8. März 2013

Die anonyme Ansprache in einer Mail ist längst kein Kriterium mehr, um eine Spam sicher erkennen zu können. In den letzten Tagen häufen sich große Spamwellen von Schadsoftware-Mails mit namentlicher Ansprache. Diese sind teilweise leicht erkennbar, etwa, wenn eine angebliche Rechnung von einem Unternehmen kommt, mit dem man es bislang noch nie zu tun hatte, sie sind aber auch teilweise hochgefährlich wie die angeblichen Rechnungen von Groupon, bei denen zumindest in einigen Fällen die gleiche abweichende Namensschreibweise wie gegenüber Groupon verwendet wurde.

Zurzeit werden derartige Spams vor allem verwendet, um Menschen mit alarmierenden Texten zur Installation von Schadsoftware zu bewegen, indem sie einen Mailanhang mit einer ausführbaren Datei für Microsoft Windows öffnen. Die Schadsoftware ist in der Regel „frisch“ und kann vom Schlangenöl der gängigen Antivirusprogramme nicht zuverlässig erkannt werden. Die so installierten Trojanerpakete ermöglichen einen beliebigen Missbrauch des Computers und der Internetleitung, insbesondere auch für betrügerische Geschäfte, kriminelle Attacken auf IT-Infrastruktur, manipulierte Online-Kontoführung, Phishing und den Versand von Spam. Wer derartige Trojaner auf seinem Rechner laufen hat, wird mit Sicherheit zu Schaden kommen. Mit dieser Spam wird nicht gespielt! Ob das Konto geplündert wird, oder ob die Kriminalpolizei vor der Tür steht – eine Menge Ärger ist programmiert.

Der einzig sichere Schutz dagegen ist es, wenn der Empfänger die Spam als solche erkennt und löscht. Das ist bei einer Spam mit namentlicher Ansprache erschwert, vor allem, wenn es sich um die angebliche Rechnung (oder ein sonstiges Dokument) eines Unternehmens handelt, mit dem man in geschäftlicher Beziehung steht. So lange diese Spamwelle läuft – und ich befürchte, sie wird noch Monate oder Jahre laufen – gibt es nur eine Möglichkeit, sich zu schützen: Niemals einen Mailanhang öffnen, der in einer nicht digital signierten Mail ohne Absprache zugestellt wurde!

Es ist den Spammern gelungen, die echten Namen zu außerordentlich vielen E-Mail-Adressen zuzuordnen. Eine Spam mit persönlicher Ansprache ist wesentlich gefährlicher als eine anonym formulierte Spam, weil ihr mit weniger angemessener Vorsicht begegnet wird. Es könnte sogar noch schlimmer sein: In einem Kommentar habe ich einen Hinweis darauf erhalten, dass die Spammer sogar wissen, welches Betriebssystem genutzt wird und gezielt eine passende Schadsoftware anhängen. Das ist mit so wenig Beleg wie einem einzigen Blogkommentar bei über 10.000 Lesern des Postings zwar keineswegs gesichert, aber allein diese Vorstellung ist höchst alarmierend und sollte nicht einfach abgetan werden. Denn das wäre eine neue Dimension in der Perfidie der Schadsoftware-Spam, die sich deutlich von der üblichen „Streumunition“ der Spam unterscheidet.

Es gibt in dieser Situation eine Frage, die in meinen Augen unbedingt geklärt werden muss:

Woher haben diese Verbrecher ihre Daten?

Natürlich liegt es nahe, ein Datenleck bei Groupon zu vermuten, wenn sogar die Schreibweise des Namens in Einzelfällen mit den gleichen Fehlern behaftet ist wie der Name, der in der Spam verwendet wird. Groupon hat diesen Verdacht bislang in Kommentaren im Groupon-Blog zurückgewiesen. Auf mich wirkt es zwar nicht sonderlich glaubwürdig, wenn einerseits gesagt wird, dass noch untersucht wird und andererseits schon zugesichert wird, dass keine Daten „geklaut“ wurden, aber hier kann nur eine unabhängige Untersuchung abschließende Aufklärung bringen. Strafanzeigen wegen Computersabotage nimmt übrigens jede Staatsanwaltschaft entgegen, und betroffen ist jeder, dessen Daten für die Zustellung einer Schadsoftware Verwendung fanden. Bis zu einer derartigen Klärung des Sachverhaltes sollte man sich besser in Zurückhaltung bei Schuldzuweisungen üben – und auch ein kleines bisschen Verständnis für die Groupon-Mitarbeiter aufbringen, die im Moment eine sehr unangenehme und arbeitsreiche Zeit durchstehen müssen.

Diese Zurückhaltung empfiehlt sich um so mehr, als dass Spams mit namentlicher Ansprache auch ohne Groupon-Kontext versendet werden, und das durchaus schon seit längerer Zeit. Es müssen also weitere Datenlecks vorliegen, aus denen die Spammer ihren Datenbestand gefüllt haben. Die Frage, wo diese Daten herkommen, führt im Moment zu allerlei Spekulationen.

Es ist an der Zeit, diese Spekulationen mit überprüfbaren Fakten zu unterlegen und vielleicht herauszubekommen, woher die Daten stammen.

Ich sehe die folgenden Möglichkeiten, woher die Namen (und möglicherweise weitere Informationen, etwa, welches Betriebssystem genutzt wird) stammen können – die Links führen jeweils zu weiteren Informationen:

  1. App-Store für Android
    Wenn man bei „Google Play“ eine App kauft, werden die Daten des Besitzers an den Verkäufer weitergegeben. Dazu gehört auch der von Google verpflichtend eingeforderte (und gegebenenfalls durch ein gescanntes Ausweisdokument zu belegende) Realname, zusammen mit der Mailadresse. Alles, was Spammer tun müssen, um an einen Datenbestand zu kommen, ist, ein paar alles in allem schnell zu programmierende Apps zu bauen und dafür zu sorgen, dass diese auch gekauft werden. Google würde – falls das die Quelle der Daten ist – zur helfenden Hand für die organisierte Internet-Kriminalität.
  2. Trojanische Apps auf Smartphones
    Es gibt jede Menge trojanischer Apps auf Smartphones, teilweise sogar von Unternehmungen mit einer zu Unrecht viel zu guten Reputation. Diese Apps können auf die gesamten Adressbestände des Telefons zugreifen und diese an andere Stellen im Internet übertragen, und darunter befinden sich auch jede Menge Kombinationen aus Mailadresse und Realname. Natürlich sind die abgegriffenen Daten nicht darauf beschränkt. Wenn das Smartphone mit dem PC synchronisiert wird, könnte dabei auch durchaus die Information anfallen, welches Betriebssystem auf dem PC verwendet wird.
  3. Social-Web-Sites
    Bei Facebook war es für registrierte App-Entwickler möglich, auf sämtliche Daten beliebiger Facebook-Konten zuzugreifen, auch hier wird sich häufig der echte Name zur E-Mail-Adresse gesellen. Es war möglich, sich fälschlich als Entwickler auszugeben. Der Zugriff gelang auch auf Konten, in denen keine App installiert wurde. Natürlich lässt sich ein derartiges Abgreifen von Daten automatisieren, und natürlich weckt eine große, zentrale Datensammlung auch Begehrlichkeiten von Kriminellen. Einmal ganz davon abgesehen, dass einigen dieser Geschäftsleute ohne seriöses Geschäftsmodell der Datenschutz vollkommen gleichgültig zu sein scheint.
  4. Kommerzielle Anbieter
    Mindestens ein kommerzieller Anbieter im deutschsprachigen Web hat mutmaßlich Adresshandel mit den gesammelten Daten betrieben. Es würde mich nicht überraschen, wenn es viele Unternehmen gäbe, die sich dieses zwar illegale, aber dennoch lukrative Zusatzgeschäft nicht entgehen lassen möchten.
  5. Gewinnspiele im Fernsehen
    Zumindest an halbseidene Callcenter sind Daten, die über Gewinnspiele im Fernsehen erhoben wurden, schon gegangen. Vermutlich werden die Daten ganz allgemein gehandelt.
  6. Datenlecks
    In den letzten achtzehn Monaten kam es zu einer außerordentlichen Häufung von Datenlecks auch bei renommierten Unternehmen, bei denen große Teile des Datenbestandes abgegriffen werden konnten. Betroffen waren unter anderem die belgische Staatsbahn, Coca-Cola, verschiedene so genannte „Singlebörsen“ (hier nur meetOne als ein Beispiel) und mutmaßlich DHL. Desweiteren können im Regelfall schlecht bezahlte Mitarbeiter gewisser Callcenter frei auf Daten zugreifen, und es würde mich sehr überraschen, wenn da nicht der eine oder andere nach Möglichkeiten suchen würde, sein mieses Gehalt aufzubessern. Dass selbst bei großen Anbietern von Pornografie sehr wenig Wert auf Datensicherheit gelegt wird, sei hier nur eine kleine Ergänzung.
  7. Cloud-Dienste
    Es kam bis jetzt immer wieder zu teilweise erheblichen Datenlecks bei so genannten Cloud-Diensten. Je nach dem, welche Daten dort abgelegt sind (zum Beispiel E-Mail-Adressbücher, aber auch andere Dokumente), können dabei personenbezogene Daten in erheblicher Menge abgegriffen und automatisiert ausgewertet werden.

Seit Mitte 2010 kann ich verschiedene Versuche der Spammer und halbseidenen Anbieter irgendwelcher Nutzlosgüter ausmachen, dass sie echte Namen zu den Mailadressen zu erhalten versuchen, und ich habe immer deutlich davor gewarnt – leider nur nach meinen beschränkten Möglichkeiten; in einem kleinen, eher unbedeutendem Blog, das ich nur einmal angefangen habe, um die Spam nicht mehr stumm hinzunehmen…

Dass es irgendwann zu überzeugender Spam mit namentlicher Ansprache kommt, ist zumindest für mich keine große Überraschung.

Meine Frage/Bitte an die Leser

Ich habe weiter oben viele mögliche Quellen für die Kombination Mailadresse und Name im Datenbestand der Spammer genannt. Vermutlich habe ich genau so viele mögliche Quellen vergessen, weil ich sie einfach nicht „auf dem Schirm“ habe. Wenn beim einen oder anderen Leser ein gewisses Entsetzen aufgekommen ist, entspricht das durchaus meiner Absicht – denn die Zeit der Sorglosigkeit gegenüber der organisierten Internet-Kriminalität muss aufhören, und der erste Schritt in einen verantwortungsvolleren Umgang mit dem Internet ist ein Verständnis für das Ausmaß der möglichen Probleme. Es mag sein, dass jemand anders zu anderen Schlüssen kommt als ich, aber ich kann nur eines empfehlen: Niemanden persönliche Daten ohne zwingenden Grund anvertrauen, niemanden glauben, dass er sorgsam mit persönlichen Daten umgeht, niemals persönliche Daten auf Geräten vorhalten, die der eigenen Kontrolle entzogen sind und diese Tatsache hinter einer gefälligen Benutzerschnittstelle verbergen. Ja, mit dem letzten Punkt meine ich Pads und Phones, aber auch generell gewisse Betriebssysteme.

Meiner Meinung nach sollte so genau wie möglich aufgeklärt werden, wie die Spammer in diesem Fall an die Daten gekommen sind. Das kann im günstigen Fall erkennbar machen, welche Menschen in naher Zukunft von möglicherweise perfiden und stark personalisierten Spamattacken betroffen sein könnten, und es kann für diese Menschen ein Beitrag zur angemessenen Vorsicht angesichts der Gefährdung sein. Diese Vorsicht ist der einzige Schutz, so genannte „Antivirenprogramme“ sind hingegen relativ wertlos.

Wie wäre es mit einem heiteren Detektivspiel zu einer wenig heiteren Form des Verbrechens. Wer kann und will dabei helfen, folgende Fragen zu klären – damit eventuell in den zusammengetragenen Informationen Klarheit aufkommt oder wenigstens, damit bestimmte Möglichkeiten ausgeschlossen werden können:

Besonders wertvoll sind dabei Angaben mit E-Mail-Adressen, die an genau einer Stelle verwendet wurden und jetzt zum Ziel der Spam geworden sind; ebenfalls wertvoll sind einmal verwendete Pseudonyme oder falsch angegebene Namen, die jetzt in personalisierter Spam auftauchen. Diese sind eine klare Spur, die zur Quelle der Daten führt.

  1. Woher kommen die Daten?
    Hat jemand bei einem einzigen Dienst eine Mailadresse verwendet, die jetzt personalisiert zugespammt wird? Hat jemand ein Pseudonym oder einen falschen Namen angegeben, für den jetzt „Rechnungen“ kommen? Welcher Dienst war das? Oder taucht eine Falschschreibweise eines Namens in einem Adressbuch auf einem Smartphone oder innerhalb eines Cloud-Dienstes auf und geht jetzt Spam an diesen Namen? Solche Kleinigkeiten können helfen, das Datenleck zu identifizieren und gezielt andere Anwender zu warnen.
  2. Wenn die Spur zu einem Smartphone führt…
    Welches Version hat das Betriebssystem? Welche Apps sind darauf installiert? Welche Apps waren einmal darauf installiert und wurden wegen Nutzlosigkeit oder weil sie einfach nicht funktionierten, wieder gelöscht? Irgendetwas auf diesem Smartphone war nicht koscher, und es gilt, herauszufinden, was das war und wer dafür verantwortlich ist. Wenn genügend derartige Informationen zusammengeführt werden, können sich viele derartige Spuren zu einem konkreten Verdacht verdichten, dem man nachgehen kann.
  3. Wenn die Spur zu einem Unternehmen führt…
    Wann wurde die Registrierung oder Datenangabe durchgeführt? Eventuell lässt sich so eingrenzen, wann die Daten abgegriffen wurden, wenn man feststellt, dass spätere Nutzer nicht betroffen sind. Gab es eine spätere Änderung der Mailadresse oder des Namens, die den Zeitrahmen fassbarer macht?
  4. Gab es Angriffe, die Kenntnisse über das Betriebssystem voraussetzen?
    So lange ich nur einen etwas fragwürdigen Kommentar habe, glaube ich es nicht. Aber wenn es weitere Mac-Anwender gibt, die ebenfalls gezielt Schadsoftware für Mac OS erhalten haben, ist das ein deutliches Indiz dafür, dass die Kriminellen wissen, welches Betriebssystem verwendet wird. An dieses Wissen können sie auf verschiedenen Wegen kommen; am einfachsten übrigens, indem sie es schaffen, dass man auf einen Link in einer Mail klickt und dass der Browser dann über den User-Agent im HTTP-Header mitteilt, welches System verwendet wird. (Das ist ein Grund mehr, niemals in eine Spam zu klicken.) Werden Adressbücher, Terminkalender etc. mit einem Smartphone synchronisiert, dass hierüber die Information abgegriffen werden kann? Wenn ja, siehe weiter oben: Welche Betriebssystemversion und welche Apps sind (oder waren) auf dem Smartphone installiert? Wenn das Smartphone erstmal trojanisiert ist und auch zum Surfen verwendet wird, ist es für die Kriminellen relativ leicht, herauszubekommen, welche Websites häufig aufgerufen werden und daraus zu schließen, wo jemand Kunde sein könnte, um dann „Groupon-Rechnungen“ zu verschicken – und vergleichbar leicht ist ein ähnlich gezielter Angriff auf das Online-Banking, mit namentlicher Ansprache und scheinbar vom richtigen Kreditinstitut.

Ich weiß, dass ich in meinen Punkten sehr auf Smartphones herumreite. Es ist einfach mein stärkster Verdacht, übrigens ohne weitere Anhaltspunkte als „nur“ dem einen Punkt der außerordentlichen Einfachheit, auf diesem Weg persönliche Daten von Menschen abzugreifen. In den Smartphones hat sich die Sicherheits-Blauäugigkeit der Neunziger Jahre mit der organisierten Internet-Kriminaliät der Zehner Jahre kombiniert und ist mit den in meinen Augen fragwürdigen Geschäftsmodellen Apples und Googles eine unheilige Allianz in der Entrechtung, Verdummung und Abzocke der Nutzer eingegangen. Bei den meisten Anwendern ist in all der kindischen Freude an den neuen Möglichkeiten leider noch kein ausgeprägtes Bewusstsein für die möglichen Probleme gewachsen – und die von namhaften Unternehmen installierten Trojaner sind nur ein kleiner Teil des ganzen Wahnsinns, ein Teil übrigens, der leider viel zu wenig Ächtung erfährt. (Meiner Meinung nach wäre das, was Facebook, Twitter, Path etc. klandestin auf Smartphones betreiben, in einem Rechtsstaat etwas, wofür es Gefängnisstrafen gäbe. Wer Trojaner programmiert und als vergifteten Bonbon zur Installation auf Computern anbietet, hat sich selbst aus dem zivilisierten Miteinander verabschiedet und zeigt, dass er die gleichen widerlichen Methoden anwendet wie eine Bande von Verbrechern. Er zeigt auch, dass er die Menschen nicht anders betrachtet, als ein Verbrecher es täte: Als dumme, verachtenswerte Opfer, die man ausraubt und ausbeutet.) Smartphones sind persönlich genutzte Computer, die bei vielen Menschen deutlich weiter in die Intimsphäre hineinragen als der Computer auf dem Schreibtisch und die dabei deutlich unbefangener genutzt werden. Wenn ich selbst ein Krimineller wäre, würde ich mich darauf konzentrieren.

Wer die von mir angesprochenen Punkte aus seiner persönlichen Erfahrung etwas klären kann, schreibe das bitte öffentlich in einen Kommentar zu diesem Posting. Natürlich gilt das auch für Punkte, die ich vergessen habe. Mit einem bisschen Glück wird es so möglich, das Datenleck aufzuklären, indem man einfach Fakten zusammenträgt. Mit einem bisschen Pech allerdings – und ich befürchte, so wird es kommen – wird dabei klar werden, dass längst Daten aus vielen verschiedenen Quellen zusammenfließen und von organisiert Kriminellen für ihre verachtenswerten „Geschäfte“ benutzt werden.

Natürlich darf hier jeder Kommentar auch schön anonym mit falscher Mailadresse und lustigem Phantasienamen abgegeben werden. Ich werde hier allerdings strikt moderieren und jeden völlig unbegründet geäußerten Verdacht löschen. Die IP-Adressen werden von mir nicht langfristig gespeichert.

Abschließendes

Angesichts der momentan zur Massenpest werdenden Spam mit überzeugender namentlicher Anrede möchte ich noch einmal meinen anderthalb Jahre alten Offenen Brief an alle Bankhäuser in die Aufmerksamkeit rücken. Wer im geschäftlichen Mailverkehr auf digitale Signatur verzichtet, ist selbst fördernder Teil der Kriminalität.

Konto-Status

Freitag, 8. März 2013

Natürlich kommt diese Mail nicht von PayPal, was sich beim Lesen auch schnell zeigt:

Lieber PayPal Kunde,

Du bist Kunde und ich weiß nicht, wie du heißst.

Aufgrund der jngsten betrgerischen Aktivit¦ten haben wir ein neues Online-Sicherheitssystem fr den maximalen Schutz der pers￶nliche Daten unserer Kunden gestartet.
Nach dieser Tatsache, wird Ihnen angeboten, ihr PayPal-Konto zu aktualisieren.

Ich schreibe Deutsch und weiß nicht, wie man diese komischen deutschen Vokale mit den Pünktchen drüber in eine HTML-formatierte Mail kriegt. Wenn ich das einfach nachlesen und verstehen würde, wäre das ja echte Mühe. Und wenn ich mir Mühe geben würde, könnte ich doch gleich arbeiten.

Um Ihr PayPal-Konto zu aktualisieren, liegt Ihnen in Ihrer E-Mail Adresse ein Formular zur Verfgung.
Bitte laden Sie das Formular aus, rufen Sie ber Ihren Internet-Browser und folgen Sie den Anweisungen auf dem Bildschirm.

Ich weiß auch nicht so ganz genau, wie man Dinge auf Deutsch formuliert. Deshalb liegt ein Formular zur Verfügung, das sie ausladen sollen. Das ist übrigens eine HTML-Datei von Kriminellen, die unbedingt erfordert, dass du JavaScript erlaubst. Da kannst du dann lauter lustige Angaben zu ihrem PayPal-Account und ihrer Kreditkarte machen, und die schickst du dann an mich. Das habe ich da natürlich nicht ganz so direkt in den HTML-Quelltext reingeschrieben, sondern ein bisschen verklausuliert, damit man auch gleich merkt, dass ich so richtig lichtscheues Gesindel bin:

Ausschnitt des versteckten, über JavaScript implementierten Submit-Buttons aus der angehängten HTML-Datei

Dein Browser macht aus dieser lustigen sedezimalen Zahlenfolge ein Starttag für ein HTML-Formular, das alle Daten an http (doppelpunkt) (doppelslash) media (punkt) cds (punkt) ed (punkt) cr (slash) images (slash) al (punkt) php sendet. Natürlich ist das nicht die PayPal-Homepage, schließlich bin ich ein widerwärtiger Krimineller, der vom Internetbetrug lebt und mal wieder ein paar Konten phishen will.

Hinweis: Das Formular muss in einem modernen Browser ge￶ffnet werden, dass JavaScript aktiviert hat. (z.B. Internet Explorer, Mozilla Firefox)
Nach Abschluss dieser Phase wird die Aktualisierung Ihres PayPal-Kontos normal funktionieren.

In meinem hochhirnrissigen Text habe ich das Wort JavaScript mit der Downloadseite für Java verlinkt. Ich bin schließlich Verbrecher, kein Techniker, und deshalb muss ich solche Unterschiede nicht kennen.

Nach Abschluss deines Datenstriptease habe ich wieder ein Konto mehr.

Wir entschuldigen uns fr die Unannehmlichkeiten und danken Ihnen fr Ihre Zeit.
Fr weitere Informationen kontaktieren Sie bitte den Kundenservice.

Ich tue so, als wäre ich höflich, aber ich bin ein kriminelles Arschloch, das dir mit einer hingestümperten Spam das Geld aus der Tasche ziehen will und deine persönlichen Daten für kriminelle Geschäfte missbrauchen will, damit ich den Gewinn habe und du den Ärger. Für weitere Informationen geh einfach auf die PayPal-Website und lies dort die Informationen zum Thema Phishing! Der in diesem Kontext wichtigste Satz darin lautet übrigens: „Sie können sich darauf verlassen: Unsere E-Mails kommen immer ohne Anhang.“

Mit freundlichen Gr￟en,
PayPal-Team.

Copyright ᄅ 1999-2013 PayPal. Alle Rechte vorbehalten.

PayPal (Europe) S.¢ r.l.et Cie, S.C.A.
Soci←t← en Commandite par Actions
Registered office: 22-24 Boulevard Royal, L-2449 Luxemburg
RCS Luxemburg B 118 349
PayPal Email ID PP59

Mit mechanischen Grüßen von einem spammenden Idioten, der nicht einmal die HTML-Entitäten für die wichtigsten europäischen Sonderzeichen kennt, aber seinen Empfängern gegenüber so tut, als sei er ein großer Dienstleister im Web.

Excellent Opportunity – Environmental Business Growing and Seeking Representatives

Donnerstag, 7. März 2013

Oh, es geht ja wirklich aufwärts! Jetzt bekommt man tolle Jobs… nein, mehr noch… exzellente Möglichkeiten von irgendwelchen sich in Europa ansiedeln wollenden Unternehmungen ohne Namen einfach so in seinem Spamordner. Fragt sich nur, ob es auch in legalen Geschäftsfeldern aufwärts geht.

Environmental company looking for representation in EU

Eine „Unternehmung“, die lieber nicht ihre Firmierung nennt, die keine Website betreibt, die keine Anschrift hat, kein Telefon oder Fax kennt und die die Empfänger ihrer „Jobangebote“ nicht namentlich ansprechen kann, will also in der EU eine Geschäftsstelle eröffnen. Und weil es dieser Unternehmung ohne Namen egal ist, welche Namenlosen sie in der EU vertreten, sendet sie einfach ein paar Millionen Spammails raus. Das muss ein ganz toller Job sein.

5% commission on six figure turnover resulting from online sales of proprietary products

Mit dreizehn Worten nichts über das Geschäftsfeld und die angebotenen Produkte und Dienstleistungen zu sagen, ist fast so bemerkenswert, wie eine Unternehmung ohne Namen zu sein. :mrgreen:

Requirements:
– Ownership of a company or holding a Power of Attorney of the said company
– Daily E-mail, Skype or phone link with us
– Duly performance of all scheduled duties

Besonders gesucht sind Leute, die ein Unternehmen oder zumindest die Prokura dafür haben. Ideal für Mittelständler, die vom Downturn mitgerissen sind und sich sagen: Wenn es schon abwärts geht, dann kann ich auch gleich auf die schiefe Bahn. Irgendwelche Fachkenntnisse oder einschläge Erfahrungen in irgendeinem Geschäftsbereich sind für eine Tätigkeit als Muli natürlich nicht erforderlich, und dementsprechend dürftig liest sich das Anforderungsprofil. Es reicht, wenn man eine etwas bessere Reputation als diese Mafia hat, die im Hintergrund und anonym tätig sein möchte. Mehr braucht es nicht, um für andere Leute ins Gefängnis zu gehen und eine Menge aufregender neuer Leute bei Staatsanwaltschaften und Kriminalpolizei kennenzulernen.

If this offer is of interest, please provide the following data:
– Name
– Phone (with country code)
– E-mail [sic!]
– Age

Wer zu solchen Angeboten gar nicht „Nein“ sagen kann, teile den Verbrechern bitte erstmal mit, wer er überhaupt ist. Die nehmen nämlich jeden. Aber Achtung, auf keinen Fall…

Please email your answer to: Jose (at) eurosconsult (punkt) com

…die Mail beantworten, indem man einfach auf „Antworten“ klickt, denn die Absenderadresse dieser Spam ist natürlich gefälscht und sieht so aus, als hätte man sich selbst angemailt. Das ist der richtige Einstieg in eine vertrauensvolle Zusammenarbeit! :mrgreen:

Best Regards,
Liaison dept

Mit Grüßen aus der ganz dunklen Hirnkrypta
Ihre Internet-Mafia

Ihre Groupon GmbH Abrechnung 271609

Mittwoch, 6. März 2013

Keine Spam, sondern ein wichtiger aktueller Hinweis!

Trojaner tarnt sich als Groupon-Rechnung

Cyber-Ganoven versenden derzeit recht gut gemachte Virenmails, die als Rechnungen der Shoppingseite Groupon getarnt sind. Der Empfänger wird mit seinem tatsächlichen Namen angesprochen und auch der Dateiname des angehängten Trojaners wird mittels Vor- und Zuname personalisiert.

Die ganze Meldung bei Heise Online lesen

Die vielen Spams mit persönlicher Ansprache werden immer gefährlicher. Ich habe keine derartige Spam mit einer angeblichen „Rechnung“ von Groupon im Anhang erhalten und bin auf die Meldung von Heise Online angewiesen, in welcher auch der Text der Spammail zitiert ist. Diese Meldung erweckt den starken Eindruck, dass Daten bei Groupon abgegriffen wurden. Zum Beispiel wurde angeblich in einem Fall eine so nur bei Groupon verwendete abweichende Schreibung des Namens verwendet. Dieser Eindruck wird in den Kommentaren zur Heise-Meldung bestätigt.

Wieder einmal zeigt sich deutlich, wie viel gefährlicher zielgerichtete Spam mit namentlicher Anrede ist. Ich habe meinen Tipps zur Vorbeugung gegen Spams mit namentlicher Ansprache nichts hinzuzufügen, außer vielleicht den Hinweis, dass es immer dringender wird und der Wiederholung der Tatsache, dass angesichts der immer wieder erfolgreichen Angriffe gegen Geschäftsmodelle im Internet kein Anbieter mehr als vertrauenswürdig betrachtet werden kann.

Kleiner Nachtrag: Im Moment, weil es so viele derartige Spams von teilweise beeindruckender Qualität gibt, ganz wichtig: Rechnungen, Mahnungen und sonstige geschäftliche Dokumente im Anhang einer nicht digital signierten Mail stinken! Niemals öffnen! Die Absenderadresse kann beliebig gefälscht sein. Nur eine digitale Signatur schafft so viel Sicherheit, dass der Absender jenseits jedes vernünftigen Zweifels identifiziert werden kann, so dass man im Ausnahmefall auch einmal das Vertrauen aufbringen kann, einen Anhang zu öffnen. Im Regelfall sollte man sich allerdings selbst in solchen Situationen fragen, aus welchem Grund die Informationen nicht im Textkörper der Mail stehen. Mit dieser einfachen Frage an eine Mail kann man meist schon sicher die Spam erkennen und löschen. Angesichts der vielen abgegriffenen Daten der letzten Monate ist eine überzeugende namentliche Ansprache kein Kriterium mehr, um eine Mail als „echt“ zu erkennen.

Weiterer Nachtrag: Sie ist so gut versteckt, dass ich sie vorhin gar nicht gesehen habe, die von der Groupon-Site unverlinkte Stellungnahme Groupons im Groupon-Blog. Klar, dass ich diesen Link nachtrage.

Nachtrag 8. März, 19:40 Uhr: Groupon hat seine Nutzer informiert, bestreitet aber weiterhin, dass ein Datenleck bei Groupon vorliege. Auf der anderen Seite kann man in der ZDNet-Meldung aber folgenden Kommentar lesen:

Am 8. März 2013 um 17:46 von B. Bornemann

Hatte mich […] mit einigen extra und ausschließlich für Groupon erstellten E-Mail-Adressen registriert. Auf sämtlichen E-Mail-Adressen erhielt ich besagte Spam-Mails mit den zugehörigen Vor- und Zunamen

Es entsteht beim Lesen solcher Erfahrungsberichte schon ein Eindruck, der den beruhigenden Zusicherungen Groupons widerspricht – und angesichts der Tatsache, dass bei Groupon wohl noch ganz andere Daten gesammelt wurden, ist das ein unerfreulicher Eindruck.

@shopgate_com: Geht sterben!

Mittwoch, 6. März 2013

Ein besonders tolles und hier erwähnenswertes Marketing betreibt der US-amerikanische Anbieter, der sich „Shopgate“ nennt, zurzeit ein paar seiner professionellen Lügner (also PR-, Krämer- und Reklameleute) in Hannover in eine CeBIT-Halle gestellt hat und begleitend eine ganz besonders tolle Social-Media-Kamapgne fährt…

Screenshot eines Ausschnitts der Twitter-Timeline von @shopgate_com

…indem vollständig wahllos ausgewählte Leute (wie zum Beispiel ich), die in irgendeiner Sprache irgendetwas mit CeBIT und einer Hallennummer im Text getwittert haben, einen englischsprachigen Hinweis in ihre Timeline gespült bekommen, wo denn nun der Stand dieser tollen Firma zu finden ist. Das ist in vielfacher Hinsicht eine ausgesprochen wichtige Information. Wer bezahlten Vertretern spammender Unternehmen einmal ganz deutlich und unmissverständlich ins Gesicht sagen möchte, wie er die Pest der Spam auf allen Kanälen, den täglichen Ärger damit und die darunter erstickende menschliche Kommunikation findet, kann obigem Screenshot mit Leichtigkeit entnehmen, wo in Hannover zurzeit eine besonders geeignete Adresse für diese Mitteilung ist.

Die dort von Schergen spammender Unternehmen angebotenen Produkte oder Dienstleistungen hingegen würden sich nach Meinung dieser tollen Unternehmung ohne asoziale Spam gar nicht so gut verkaufen. Das ist eine Selbsteinschätzung dieses „Shopgates“, der ich keine eigenen Worte mehr hinzuzufügen habe.

Außer vielleicht noch: Geht sterben! 👿

Rechnung für N. N. GmbH

Mittwoch, 6. März 2013

Soso, eine Rechnung, wie alarmierend. Und wofür soll ich jetzt Geld bezahlen?

Guten Tag,
Das Neue Jahr startet gleich mit riesigen Rabatten:

+++ hochwertiger Profi-Schneeschieber mit Reifen: statt 399,- Euro* nur 139,- Euro
+++ Profi-Werkzeugset mit 186 Teilen (Chrom-Vanadium-Stahl): statt 999,- Euro* nur 139,-
+++ Kofferset (3 hochwertige Hartschalen-Rollkoffer): statt 599,- Euro* nur 139,- Euro

Ah ja, für Nichts. Weil es gar keine Rechnung ist. Das neue Jahr hat zwar schon vor 64 Tagen angefangen, aber das hält so einen Dummspammer in seiner Haltung des totalen Denkverzichts natürlich nicht davon ab, vom neuen Jahr zu faseln, das ihn zu irgendwelchen Angeboten motiviert. Und von Rabatten, also von geringeren Preisen als den selbstausgedachten Mondpreisen für seinen Tand… sorry… für seine hochwertigen Profi-Produkte.

Gleich anschauen und bestellen:
http://Rabatt-AAAAABB-2013-5.com/

Die anatomische Frage, ob die besonderen Geschäftsideen dieses Spammers wohl daher kommen, dass sein Dickdarm im Schädel endet, kann ich leider nicht beantworten. Die tolle Wegwerfdomain schafft jedenfalls so richtiges Vertrauen! Sie wurde erst gestern eingerichtet.

Und vieles mehr! Schauen Sie direkt ‚rein, vieles ist fast ausverkauft.

Schnell, schnell, vieles ist fast weg! Nicht nachdenken! So schreibt jemand, der auf Spam setzt, weil er weiß, dass sein Tinnef ohne dieses besonders asoziale Werbemittel nicht weggehen wird. Und der „Rechnung“ in den Betreff reinschreibt, weil er weiß, dass ein ehrlicherer Betreff dazu führt, dass seine höchst unerwünschten Drecksmails ungelesen gelöscht werden. Großes Kino! Eine Brieftaube flog übers Kuckucksnest.

Viele Grüße
Kornelia Marquardt

Mechanische Grüße
Ihr dummer Spammer mit ausgedachtem Namen.

Newsletter Abmelden: http://Rabatt-AAAAABB-2013-5.com/abmelden

Wer möchte, darf gern mitteilen, dass die Spam ankommt – bei Leuten, die schon mit ihrem Spamversand zeigen, dass ihnen der Wunsch anderer Menschen nach einem müllfreien Postfach gleichgültig ist.

* Zu diesen und ähnlichen Preise im Handel gesehen

PS: Die Vergleichspreise weiter oben waren Lüge, aber die richtigen Preise waren ganz ähnlich. Sie bestanden auch aus Ziffern mit einer Währungsangabe.

Dieses Zustecksel aus dem täglichen mechanischen Irrsinn ist von meinem Leser B. H., der diesen und vergleichbaren Sondermüll seit Monaten bekommt.

Webseite

Dienstag, 5. März 2013

Schön, nur eine Seite! Das ist nicht so viel Stoff wie eine ganze Website.

Guten Tag, mein Name ist Thomas Lipke. Ich repräsentiere die Firma webProgress, die sich mit der Förderung der Firmen und mit der Optimierung der Internetseiten in den Suchmaschinen beschäftigt.

Guten Tag, ich habe keine Ahnung, wer du bist. Für mich selbst habe ich mir einen Namen ausgedacht, der klingt, als könnte ich ihr Nachbar sein. In meinem Deutsch schwingt allerdings so viel slawische Ausdrucksweise mit, dass das niemanden zu überzeugen vermag. Ansonsten optimiere ich Internetseiten in Suchmaschinen und lerne Deutsch, indem ich ein Wörterbuch von A bis Z durchlese.

Nach der Analyse Ihrer Internetseite haben wir Fehler im Code ermittelt, die einen groβen Einfluss darauf haben, dass Ihre Webseite eine niedrige Position in den Suchmaschinen, darunter auch in der wichtigsten, d. h. auf Google, einnimmt.

Nach der Analyse ihrer einzigen Seite im Internet haben wir natürlich nicht das Impressum gefunden, um sie namentlich ansprechen zu können, sondern ominöse Fehler, die nur wir sehen können.

Wir bieten Ihnen die Optimierung Ihrer Internetseite an. Dadurch kann Ihre Seite unter den ersten Zehn auf Google sein.

Wir bieten ihnen an, kostenpflichtig zwei Minuten lang unter monotonem Sang „Guhgell! Hoch! Guggel! Top!“ unsere Voodoo-Rassel zu schwingen. Dadurch kann ihre einzige kleine Seite im Internet durchaus auf die erste Stelle in Google kommen. Es ist nur sehr unwahrscheinlich.

Unsere Fachleute stehen Ihnen mit ihrem technisch– informatischen Wissen zur Verfügung.

Unsere Fachleute wissen nicht einmal, was der Unterschied zwischen einer Site und einer Seite ist.

Wir gewährleisten die erhebliche Verbesserung der Webseite-Position. Bei den nicht zufriedenstellenden Ergebnisse garantieren wir die Rückerstattung der Kosten.

Wir wollen ihnen für Bullshit Geld aus der Tasche ziehen. Wir versprechen ihnen tolle Sachen wie „erhebliche Verbesserungen“ mit der Zusage „Geld zurück“, aber wir sind anonym auftretende, asoziale Spammer, von denen sie niemals wieder etwas hören werden.

Mehr Informationen entnehmen Sie bitte unserer Webseite: http://www.web-progress.net

Wenn sie noch mehr lustige Lügen von angeblichen Technikern hören möchten, besuchen sie eine Website, die ohne Spam niemand kennte – denn für unsere eigene Website setzen wir ganz großen SEO-Magier, die wir sonst jede noch so nichtsnutzige, verrottete Seite in die Top 10 bei Google bringen wollen, nicht etwa auf unsere eigenen Künste, sondern auf das asoziale und illegale Werbemittel der unerwünschten Massenmail. Die paar Dummköpfe, die auf uns reinfallen, bemerken solche Schwächen nicht.

Und die Dummköpfe wundern sich auch nicht darüber, dass wir die Domain unserer tollen SEO-Klitsche erst vorgestern registriert haben, weil sie gar nicht wissen, wie man solche öffentlich zugänglichen Daten herausbekommt – wer so viel technisches Verständnis hat, dass er whois -H an einer Kommandozeile tippen kann, gehört eh nicht zur Zielgruppe. Der kann dann auch ruhig bemerken, dass der Name des Registrars dieser Domain über einen dieser Whois-Anonymisierer versteckt wurde, was für geschäftliches Auftreten eher ein bisschen… ähm… unkonventionell ist¹. Dass die unbeholfen formulierten Texte auf unserer tollen Website gar nicht klingen, als hätten wir erst vor zwei Tagen angefangen

Die über 10 jährige Erfahrung in der Internetbranche und die mehrjährige Aktivität auf dem Markt gewährleisten die ausgezeichnete Wirksamkeit und das hohe Niveau unserer Dienstleistungen.

…fällt diesen Leuten, die eh nicht die Zielgruppe unseres Betruges sind, also gar nicht weiter auf.

Mit freundlichen Grüβen
Thomas Lipke
WebProgress – http://www.web-progress.net

Mit mechanischem Gruß
Ein stümperhafter SEO-Spammer mit ausgedachtem Namen

Wer noch mehr über diesen Bullshit lesen möchte oder vielleicht glaubt, dass Angebot dieser Leute könnte doch (und trotz der asozialen und illegalen Spam) für ihn nützlich sein, schreite bitte einfach gemächlich und in würdevoller Haltung in die Schandhalle der Spam und schaue sich dort die zum Verwechseln ähnliche Nummer an, die unter der Bullshit-Firmierung SEOWeb lief!

¹Das Verstecken der Registrierungsdaten über einen derartigen Dienstleister kann für Privatleute, die aus dem einen oder anderen Grund nicht möchten, dass ihre Postanschrift, ihre Mailadresse für technische Anfragen sowie ihre Telefonnummer frei über das gesamte Internet abrufbar sind, vollkommen sinnvoll sein – zum Beispiel zum Spamschutz. Bei geschäftlichen Internet-Auftritten ist es jedoch im Regelfall hoch erwünscht, dass der Kontakt in jeder Hinsicht einfach und unproblematisch ist. Außer natürlich, man macht weniger seriöse Geschäftchen.

Luftfrachsendung AWB

Dienstag, 5. März 2013

Wie jetzt, ihr wollt im Betreff so tun, als ob ihr irgendwas mit Gütertransport macht und könnt nicht einmal das Wort „Luftfrachtsendung“ korrekt schreiben? Das kann ja heiter werden…

Gefälschter Absender der Mail ist info (at) first (strich) class (strich) zollservice (punkt) de. Die Mail ist eine klare Spam, die mir über eine niemals aktiv genutzte Mailadresse zugegangen ist, die ich nur für die Harvester der Spammer auslege.

Hallo,

Hey, Idiot. Du bist Kunde bei uns und kriegst Mail von uns, in der wir dir nicht einmal sagen, wer zum blutschlürfenden Henker wir überhaupt sind.

anbei der AWB bitte bestätigen ob alles Ok ist.

Wir können zwar Umlaute, aber Kontext können wir dafür nicht so gut. So ein AWB heißt auf Deutsch übrigens „Luftfrachtbrief“, aber wir ganz großen Spamspediteure können so etwas ja nicht wissen und auch nicht mal schnell mit einer Suchmaschine herausbekommen. Tja, und dass „AWB“ auf Deutsch eine sehr gebräuchliche Abk. für „Abfallwirtschaftsbetrieb“ ist, das passt doch ganz hervorragend zu unserem Sondermüll.

Danke

Wofür?

Mit freundlichen Grüßen

First Class Zollservice &
Transportvermittlungs GmbH

Toller Zeilenumbruch mitten in der Firmierung! Geradezu erstklassisch. Dank des von euch in der HTML-formatierten Spam gewählten doppelten Zeilenabstandes sieht das gleich noch ein bisschen mieser aus.

Niederlassungsleiter

Unsere Mitarbeiter haben schon eine Funktion. Da brauchen sie nicht auch noch einen Namen zu haben.

Nordendstraße. 32 B
64546 Mörfelden Walldorf

Coole Lage! Direkt neben dem Tempel der alten Künste einer Waldorfschule. Schade eigentlich, dass da der Streetview-Wagen noch nicht durchgefahren ist.

[Falls es jemand immer noch nicht mitbekommen hat und auch beim Titel dieses Blogs noch Unklarheiten hat: Dies ist eine Spam. Die Absenderadresse ist gefälscht. Die First Class Zollservice & Transportvermittlungs GmbH aus Raunheim hat mit dieser Spam nichts zu tun. Die Reputation dieser Firma wird gerade von Kriminellen in den Schmutz gezogen, und den Menschen dort wird neben ihrer eigentlichen Arbeit jede Menge Ärger mit erbosten Anrufen und Mails bereitet. Das richtet wirtschaftlichen Schaden an. So etwas ist den Kriminellen egal. Denn Spammer sind verantwortungslose… sorry… Arschlöcher. Die angegebene Anschrift ist genauso erlogen. Der gesamte Text dieser Spam ist Lüge.]

Tel.: 0610x / 403xx 11 Fax: 0610x / 403xx 20

www.first-class-zollservice.de

[Die Telefonnummer ist von mir unkenntlich gemacht worden]

Aber ja nicht auf die angegebene Website schauen und dort im Impressum bemerken, dass dieses Unternehmen eine ganz andere Anschrift und Telefonnummer hat.

Den Rest der Spam lasse ich mal unzitiert. Es handelt sich um eine wörtliche Übernahme aus der Website eines Unternehmens, dessen Ruf von kriminellen Spammern mit Dreck beworfen wird.

Entscheidend ist hier mal wieder der Anhang. Es handelt sich um 21,4 KiB reinstes Entzücken in Form eines ZIP-Archives voller Schadsoftware. Was da drin liegt, ist nicht etwa eine PDF-Datei, wie der Name vorgeben möchte, sondern eine ausführbare Datei für Microsoft Windows. Wer darauf einen Doppelklick macht, um sie auszuführen, hat verloren. Etwa die Hälfte der gängigen Virenscanner erkennt diesen Schädling noch nicht – die andere Hälfte weiß inzwischen schon, dass es sich um einen Trojaner handelt.

Aber bei einer so leicht erkennbaren Spam kann das doch niemanden passiert sein, oder?!