Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.


Bestellnummer 37862105779

Montag, 2. Juni 2014, 17:48 Uhr

Die Nummer ist in jeder Mail anders, auch die anderen Zahlen und der eine oder andere kleine Textbestandteil. Es werden ständig andere gefälschte Absenderadressen verwendet. Meine Exemplare kamen alle von einer dynamischen IP-Adresse eines italienischen Zugangsproviders, also nicht von einem gewöhnlichen Mailserver, sondern von einem mit Schadsoftware übernommenen Privatrechner. Oder anders gesagt: Es handelt sich hier um die Mail von Kriminellen, die mit Schadsoftware übernommene Privatrechner für ihre Kriminalität benutzen.

Vielen Dank dafür, dass Sie Dienste unseres Geschäfts ausnutzen [sic!]!

Das pseudohöfliche „Vielen Dank“ soll darüber hinwegtäuschen, dass der angebliche Kunde, der die „Dienste unseres Geschäftes“ ausnutzt, keinen Namen hat, und…

Ihre Bestellung #37862105779 wird 07-06-2014 verschickt werden.

…die Bestellnummer so wie die anderen Nonsens-Daten…

Datum: 02-06-2014 15:35:17
Summe: €155.34
Bezahlungstyp: Kreditkarte
Transaktionsnummer: FB6732282B

…sollen mit viel sinnlosem Text die Spam füllen, ohne irgendeine aus Kundensicht relevante Information zu geben – also die Frage zu beantworten, was da bei wem bestellt wurde, wann dies geschah und wohin das geliefert wird. Dies sind alles Angaben, bei denen ein echtes Unternehmen darauf achten würde, dass keine Missverständnisse aufkommen können. Auch auf die Angabe der Kreditkartennummer wird verzichtet. Stattdessen gibts eine lustige Tasse Buchstabensuppe als angebliche „Transaktionsnummer“.

Warum das so ist?

Na, weil jede dieser Informationen jedem Empfänger sofort klar machen würden, dass alles in dieser Spam Unsinn ist, der nichts mit irgendeiner Bestellung zu tun hat. Und dann würde die Spam wohl einfach lachend gelöscht. Das will der Spammer freilich nicht, er will stattdessen…

Die Gesamtrechnung werden Sie in der Datei buchung6755.zip finden

…dass das angehängte ZIP-Archiv aufgemacht wird, in dem sich nicht etwa ein Dokument, sondern eine ausführbare Binärdatei für Microsoft Windows, die von Verbrechern zugestellt wurde befindet – leicht an der Dateinamenserweiterung .exe zu erkennen, wenn man diese im Windows Explorer anzeigen lässt¹.

Wer es immer noch verstanden hat: Es handelt sich um eine Kollektion aktueller Schadsoftware. Zurzeit wird diese Schadsoftware von nur einem Antivirusprogramm aus einer Liste von 53 Antivirusprogrammen erkannt. (Ich habe dieses Ergebnis mal durch einen Screenshot dokumentiert, falls mir eine Woche später mal wieder niemand mehr glaubt.) Fast alle Empfänger dieses kriminellen Mists, die sich auf ihr Antivirus-Schlangenöl verlassen haben, sind verlassen und haben nach dem Starten der angehängten Schadsoftware einen Rechner anderer Leute auf ihrem Schreibtisch stehen, ohne dass es zu einem Alarm kommt – und dies völlig unabhängig davon, ob das Schlangenöl Geld gekostet hat oder nicht².

Deshalb ist es umso wichtiger, derartigen Müll selbst zu erkennen und zu löschen. Das war in diesem Fall nicht weiter schwierig. Alle Spams, die ihre Empfänger zum Ausführen von Schadsoftware überrumpeln wollen, haben folgende Merkmale:

  1. Es wird innere Unruhe erzeugt, etwa mit der Behauptung von Geldforderungen, mit angeblichen Rechnungen, Mahnungen oder mit angeblichen Rechtsangelegenheiten. Manchmal sind es auch kurze „Liebesbriefe“ oder „Gutscheine“ von Unbekannten. Eine Übersicht derartiger Maschen findet sich hier auf Unser täglich Spam unter dem Schlagwort „Schadsoftware“.
  2. Alles, was im Text der Mail über den angeblichen Sachverhalt steht, ist völlig nichtssagend und – im Falle angeblicher Mahnungen oder Rechnungen – oft einschüchternd technokratisch formuliert. (Irgendwelche Nummern, technische Angaben und dergleichen, Menschen sind in unserer Maschinerie unbedeutend, du musst unserer Maschinerie gehorchen, es ist mechanisch, ein Fehler durch menschliches Versagen ist völlig ausgeschlossen: Man beachte unter diesem Aspekt das in der vorliegenden Spam gewählte, technisch anmutende Datumsformat.)
  3. Die einzige Möglichkeit, zu erfahren, um was es eigentlich geht, liegt darin, einen Mailanhang zu öffnen.
  4. Dieser Mailanhang ist ein ZIP-Archiv. Jede E-Mail mit einem angehängten ZIP-Archiv ist gefährlich. Diese „Verpackung“ wird von den Verbrechern vorgenommen, um gefährliche Dateitypen an den Spamfiltern vorbeizumogeln.
  5. Im ZIP-Archiv liegt eine einzige Datei. Das Piktogramm der Datei sieht meistens wie ein PDF oder wie ein Word-Dokument aus, aber es handelt sich in Wirklichkeit um eine ausführbare Datei für Microsoft Windows.

Der Doppelklick auf das angebliche „Dokument“ installiert dann die Schadsoftware. Diese ist in aller Regel so „neu“ (also so aus bestehender Schadsoftware abgeleitet, dass Antivirus-Programme beim Erkennen versagen), dass es bei vielen Menschen nicht zu einer Warnung kommt.

Mit freundlichen Grüßen,
Verkaufsabteilung
Hasica Becht

Wenn das die „Freundlichkeit“ ist, will ich die Feindschaft nicht mehr kennenlernen.

Und weil diese Spammer ganz besonders asozial sind, haben sie noch eine Innovation dieser Masche im Angebot:

+49-3533-7386-xxx [von mir unkenntlich gemacht]

Ich kann nur hoffen, dass die verwendeten Telefonnummern nicht existieren – denn die armen Menschen, die sich ansonsten mit vielen hunderten erboster Anrufe herumschlagen müssten, die können mir nur leid tun.

Die asozialen und kriminellen Spammer sind freilich von solchen menschlichen Regungen unbeeinflusst. Diesem Pack ist alles egal.

¹Das ist nicht die Voreinstellung von Microsoft. Hassmails wegen dieser idiotischen Entscheidung bitte an Microsoft senden! Aber noch wichtiger: Eine bessere Einstellung machen, die sofort klar macht, dass es sich trotz des PDF-Piktogramms nicht um ein PDF handelt!

²Sorry, liebe „Spammitgenießer“ vom LKA Niedersachsen, aber euer Hinweis, dass gekaufte wirkungslose Software besser ist als kostenlose wirkungslose Software, ist ein dermaßen gefährlicher Humbug, dass mir alle Worte fehlen. Ansonsten ist euer Präventionsportal wirklich ein lobenswerter Schritt in die richtige Richtung, den ich so viele Jahre lang vermisst habe.

2 Kommentare für Bestellnummer 37862105779

  1. Steffen sagt:

    Die angegebenen Telefonnummern scheinen ein wenig nach dem Zufallsprinzip ausgewählt zu sein. Einige davon funktionieren, andere hingegen nicht. Eine bei mir aufgeschlagene Mail enthielt z. B. die Rufnummer einer Taxizentrale in Trier. Es wird also nicht nur eine Firma dadurch potentiell belästigt.

  2. […] nicht alles zu wiederholen, was ich schon vorgestern zu einer Spam mit ähnlicher Machart schrieb, hier die […]

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert