Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.


Fax mail-7972461

Sonntag, 9. November 2014, 0:19 Uhr

So so, Fax-Mail mit Zahlensalat…

Die Faksimile Mail Absender: 058-525-3791

Sie haben erhalten 3 Seite Fax Nachricht am 9.29 Don, November 6, 2014

Die REF Nummer der Nachricht 98362504656685

Lesen Sie die Fax via Microsoft Word.

Selbst, wer nicht besonders skeptisch ist, sollte bei dieser Mail sofort aufmerksam werden, und zwar aus folgenden Gründen:

  1. Selbst ein mieses Übersetzungsprogramm käme wohl nicht auf einen Begriff wie „Faksimile Mail Absender“ – einmal ganz davon abgesehen, dass es „Der Absender“ hieße.
  2. Auch der Rest ist sprachlich… ähm… interessant und das verwendete Datums- und Zeitformat ist für eine „deutschsprachige“ Mail geradezu peinlich schlecht.
  3. „Lesen Sie die Fax via Microsoft Word“ ist absurd. Wenn ein Fax versendet wird, handelt sich nicht um einen Text, sondern um eine Rastergrafik. Geräte, die ein Fax empfangen haben und dieses per E-Mail weiterleiten, würden entweder ein PDF oder ein offenes Grafikformat wie PNG daraus erzeugen, da der Aufwand für das Extrahieren des Textes zum Erzeugen eines Textformates sehr hoch wäre. Einmal ganz davon abgesehen, dass es Microsoft Word nicht für jedes Betriebssystem gibt, sondern nur für eines, nämlich das Lieblingsbetriebssystem der organisierten Internet-Kriminalität…

Hier möchte also jemand die Mailempfänger unter einem Vorwand dazu bewegen, eine per E-Mail empfangene Datei in Microsoft Word zu öffnen. Es ist grundsätzlich eine sehr schlechte Idee, Word-Dokumente oder andere Dokumente für Microsofts Office-Paket aus unsicherer Quelle zu öffnen. Die Office-Programme sind makrofähig, das heißt, es ist möglich, Dokumente so zu erstellen, dass sie Code enthalten, der beim Öffnen der Dokumente ausgeführt wird. Selbst, wenn das durch Sicherheitseinstellungen verhindert wird, hat das Office-Paket von Microsoft eine bemerkenswerte Sicherheitsgeschichte.

Die Datei heißt FAX Dokumenten_8122.doc und es handelt sich wirklich um ein Word-Dokument. Auch ohne diese Datei zu öffnen, konnte ich schnell herausbekommen…

Screenshot meines Terminals, in dem ich die Datei überprüfe

…dass diese Datei zwei Seiten mit 128 Wörtern hat, die in null Sekunden getippt wurden. Und zwar nicht von einem Faxempfangsprogramm, sondern mit einem Microsoft Office, das auf einen Benutzer mit dem hübschen Namen „crypt mari“ registriert ist.

Für alle hoffnungslos Neugierigen: Dieses Dokument sieht so aus:

Erste Seite der angeblichen Faxnachricht aus der Spam

Zweite Seite der angeblichen Faxnachricht aus der Spam

Ja, richtig: Dieses Dokument fordert in seinem Text dazu auf, dass man die Ausführung von Makros zulassen soll, um das Dokument, das man gerade liest, lesen zu können. Und zwar mit einer kurzen Anleitung für jede einzelne verbreitete Version von Microsoft Office, wie man diese Dummheit hinbekommt. Wer dieser Anweisung folgt, führt dadurch Code auf seinem Computer aus, der ihm von einem kriminellen Spammer unter einem Vorwand „untergeschoben“ wurde. Es handelt sich um das reinste Gift, das schnell und unbemerkt dafür sorgt, dass ein Computer anderer Leute auf dem Schreibtisch steht.

Zwei Dinge sind an dieser Spam besonders gefährlich. Erstens kommt sie manchmal durch Spamfilter durch, und zweitens wird die Schadsoftware zurzeit nur von einem guten Zehntel der gängigen Antivirus-Programme erkannt. Da sie außerdem nicht dem Schema „ZIP-Archiv im Anhang“ folgt, mit dem zurzeit die Mehrzahl der Schadsoftware versendet wird, kann es leicht passieren, dass einige Menschen unkritisch darauf hereinfallen. Zum Glück wird das in diesem Fall wegen der unbeholfenen Sprache der Spam selten sein. Dennoch kann man es gar nicht oft genug sagen: Niemals einen Anhang aus einer dubiosen E-Mail öffnen, selbst wenn dieser ein scheinbar harmloses Dokumentformat wie ein Word-Dokument oder ein PDF sein sollte! Das bisschen befriedigte Neugierde kann den möglichen Schaden nicht aufwiegen.

Diese Spam ist ein „Zustecksel“ meines Leser M. R.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert