Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.


Fax sendebericht

Montag, 23. Juni 2014, 13:36 Uhr

Klar, ein „sendebericht“, was denn sonst. Klingt ja auch viel hübscher als „Müll spam“. Und Wunder der Technik! Dieser Spammer kann nicht nur das Substantiv nicht groß schreiben, er kann auch HTML-Tabellen in einer HTML-formatierten Mail setzen und damit fast vergessen machen, was für ein komisches Datum doch dieser Tag mit der Bezeichnung 23/14 ist. Das kann nicht jeder:

Fax sendebericht
S-Nr. 73404451
Modus Standard
Datum/Uhrzeit 23/14 12:22
Fax-nr./Name +49 4731 9174 xxx
U.-Dauer 00:01:52
Seite(n) 2
Download

Diese E-Mail ist frei von Viren und Malware, denn der avast! Antivirus Schutz ist aktiv.

[Die angebliche Faxnummer habe ich unkenntlich gemacht.]

Letztere Zusicherung ist besonders nett, denn man weiß ja nie bei krimineller Spam, ob da nicht irgendeine Seuche dranhängt. Und vor allem ist sie so glaubwürdig! :mrgreen:

Was der Spammer allerdings möchte, ist, dass möglichst viele Empfänger auf den Link „Download“ klicken. Ich weiß nicht in jeder Einzelheit, was man sich auf den von diesen freundlichen Internetkriminellen gestalteten Websites noch alles so einfangen kann, aber die besondere Kunst, in der man durch eine Kaskade von verschiedenen Seiten geleitet wird, dokumentiere ich gern mit einem Schnippselchen des HTML-Quelltexts in Form eines Screenshots meines Editors¹:

Screenshot meines Editorfensters mit einer äußerst verdächtigen Weise, JavaScript zu benutzen

Wer kein Javascript lesen kann: Hier werden Variablen mit sehr kryptischen Namen jeweils mit Zeichenketten aus einem einzigen Zeichen belegt, und welches Zeichen verwendet wird, ist jeweils in einer Exklusiv-Oder-Verknüpfung der einzelnen Bits zweier Ganzzahlen gecodet. Aus den so belegten Variablen wird dann zusammengesetzt, wohin der Browser gehen soll – wenn man denn die Ausführung von Javascript gestattet².

Die so interessant verborgene Fahrt ins Blaue geht übrigens zur URL http (doppelpunkt) (doppelslash) ildragodeicomputer (punkt) com (slash) reserved (slash) fax (underline) 23 (strich) 06 (strich) 2014 (strich) TX6381A7481 (punkt) zip. Es handelt sich um ein ZIP-Archiv, in dem eine ausführbare Datei für Microsoft Windows liegt; eine Datei übrigens, die mit ihrem Piktogramm versucht, wie ein PDF auszusehen und damit den Spamempfänger irrezuführen – tja, und wer dieses von Verbrechern zugestellte Programm ausführt, der hat hinterher einen Computer anderer Leute auf dem Schreibtisch stehen. Das Antivirus-Programm nützt nichts, es handelt sich – wie immer bei solchen Innovationen in der Durchführung – um hochaktuelle Schadsoftware, die zurzeit von deutlich weniger als zehn Prozent der gängigen Antivirus-Programme erkannt wird. Der eingebaute Virenschutz im Gehirn hingegen, der solche Spam klar als Spam erkennt und einfach unbeklickt löscht, der schützt immer zu hundert Prozent. Oder, um es noch einmal ganz deutlich zu sagen: Antivirus-Programme sind Schlangenöl.

Aber zum Glück hat ja hoffentlich jeder gemerkt, dass diese Mail nicht von seinem Faxempfangsgerät kam…

¹Dass ich mir nicht gerade mit einem aufgeplusterten grafischen Browser anschaue, wohin die Reise geht, sondern mir zuvor den Quelltext lieber mit lynx abhole, um einen genauen Blick darauf zu werfen, liegt ganz einfach an meiner Paranoia, wann immer ich es mit den Machwerken von Leuten aus der organisierten Internet-Kriminalität zu tun habe. Wer nicht weiß, wie man sich schützen kann – und nein: ein Antivirus-Programm und eine so genannte personal firewall sind kein Schutz – sollte gar nicht erst darüber nachdenken, in eine Spam zu klicken! Das bisschen befriedigte Neugierde ist den möglichen Ärger nicht wert.

²Eine Website das Ausführen von Javascript zu gestatten, ist ein Privileg, mit dem man unbedingt geizen sollte. Beinahe alle ausbeutbaren Sicherheitslücken der letzten Jahre standen im Zusammenhang mit Javascript – und eine Website, die ohne Javascript nichts mitzuteilen hat, liefert mit Javascript im Regelfall auch nur entbehrlichen „Content“. Die Installation des Addons NoScript ist eine wichtige Sicherheitsmaßnahme, die ein großes Sicherheitsproblem an der Wurzel bekämpft.

4 Kommentare für Fax sendebericht

  1. […] Siehe auch Unser täglich Spam: Fax sendebericht […]

  2. […] Spam-Mails werden definitiv immer kreativer. Ich bekomme jetzt schon “Fax sendebericht” als Mail geschickt die ich mir herunterladen soll. Zum Glück ist die E-Mail frei von Viren und Maleware. Yay. Falls jemand mehr Details haben möchte, wohin der Download zeigt und um welche Zip-Datei mit Schadsoftware sich dahinter versteckt, hier entlang. […]

  3. benedikt sagt:

    Das passt thematisch vielleicht so einigermaßen dazu:

    Ich habe eine Mail erhalten, in der (als Plaintext formatiert) einfach nur stand:

    http://www.baidu.com/link?url=FGUA1gmSx6WC75Ah5_DpaJf2GU3Ul32qIoQc3DDYrpX8XQ2h_mn19zGQJNyVS8pl

    Und bei lynx -dump -mime_header bekomme ich:

    window.location.replace(“http://posboston.com/main/“)

    Ist wohl eine automatische Weiterleitung. Mit einem weiteren lynx-Aufruf mit der neuen URL erhalte ich:

    function generate(len)
    {
    var chars=[‘a',‘b',‘c',‘d',‘e',‘f',‘g',‘h',‘j',‘k',‘l',‘m',‘n',‘o',‘p',‘r',’s‘,'t‘,'u‘,'v‘,'w‘,'x‘,'y‘,'z‘];
    var out='‘;
    for(var i=0;i

    Da wird wahrscheinlich ein mehr oder weniger zufälliger String generiert und in eine Weiterleitungs-URL verwurstet. Die beiden Domains „com-2sf.net“ und „com-mnz.net“ wurden laut der Angabe „Creation Date:“ beim whois am 16. September 2015, also vor 3 Tagen erstellt – so etwas hast du ja wohl schon öfters erlebt. 😉

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert