Monatsarchiv für August 2015

Stagefright-Virus bedroht ihr Konto

Dienstag, 11. August 2015

Das Wichtigste vorab: Diese E-Mail kommt nicht von der Postbank. Es ist Phishing und der Versuch, ihnen einen Trojaner unterzujubeln. Löschen sie diese E-Mail! Wenn sie das mir als „irgendeinem dahergelaufenen Blogger“ nicht glauben wollen (was durchaus vernünftig ist, denn sie kennen mich nicht und ich kann ein beliebiger Vollidiot sein), überzeugen sie sich davon, indem sie kostenlos bei der Postbank-Hotline für Sicherheitsfragen unter der Telefonnummer 0800 1008906 anrufen und dort noch einmal nachfragen! Und nachdem sie dort die Bestätigung gehört haben, löschen sie diese Spam! Die Postbank versendet solche E-Mails nicht. Kommen sie auf gar keinen Fall auf die Idee, wegen einer E-Mail einer Bank irgendwelche Daten irgendwo einzugeben! Egal, was der Grund dafür sein soll! Es ist eine sehr schlechte Idee, die sie viel Geld kosten kann und ihnen monatelangen Ärger aller Art einbringen kann. Und wenn sie schon die Hotline anrufen, stellen sie dort auch gleich die Frage, warum vor dieser sehr gefährlichen laufenden Betrugsnummer noch nicht prominent auf der Kundenwebsite der Postbank gewarnt wird, denn zurzeit scheint bei der Postbank noch niemand auf diese naheliegende Idee gekommen zu sein – obwohl dort ansonsten geradezu vorbildlich auf gängige Betrugsmaschen hingewiesen wird. Eine prominent platzierte Warnung könnte so viel Schaden verhindern und kostet dabei so wenig Aufwand…

So, jetzt aber…

Es war ja klar, dass die Spammer darauf aufspringen würden. Wer auch nur eine Spur Verantwortung fühlt, wird allerdings niemals auf die Idee gekommen sein, seine Kontoführung mit einem Wischofon¹ zu machen – denn in diesen werksseitig funktionslimitierten Computern für Dumme verbindet sich die Security-Blauäugigkeit der Neunziger Jahre mit der technisch kompetenten organisierten Kriminalität der Zehner Jahre.

Tja, und wer seine Kontoführung nicht mit so einem gefährlichen Spielzeugtelefon macht, der lacht schon beim Anblick des Betreffs, lehnt sich zurück und hat eine Möglichkeit weniger, mit derart plumpen Nummern überrumpelt zu werden.

Diese Spam habe ich übrigens nicht selbst empfangen, sie wurde mir von einem Freund mit Konto bei der Postbank zugesteckt, der schon wegen des…

Von: „Postbank.de“ <do-not-reply@postbank.de>

…in der Spam angegebenen Absenders verunsichert war, ob sie nicht echt sein könnte. Ich hoffe, er hat sich jetzt für alle Zeiten gemerkt, das der Absender einer E-Mail ohne Aufwand gefälscht werden kann und somit gar nichts über die Herkunft einer E-Mail sagt. Was Banken tun können, um solche Verunsicherungen bei Empfängern von kriminellen Phishing-Spams zu verhindern, habe ich schon vor vier Jahren geschrieben und werde es hier nicht wiederholen. Dass die meisten Banken immer noch nichts tun, ist ein Beleg dafür, dass ihnen ihre Kunden egal sind und dass sie sich nicht daran stören, wenn Kriminelle das Geld ihrer Kunden für dicke Autos, Kokain und Prostituierte ausgeben können. Als Kunde einer solchen Bank würde ich die darin ausgedrückte Verachtung in vollem Umfang zurückgeben und mir einen seriöseren Dienstleister für meine Geldsachen suchen.

Sehr geehrte/r Kunde,

Weder kennt diese „Postbank“ den Namen des Empfängers, noch macht sie eine Angabe, auf welches Konto sich diese Mail bezieht². Spätestens an dieser Stelle sollte jedem Empfänger klar sein, dass es sich um eine Spam handelt.

Die Postbank Sicherheitszentrale [sic! Deppen Leer Zeichen] warnt vor einer Sicherheitslücke beim Smartphone-Betriebssystem Android von Google. Hacker könnten die Daten einfach per MMS stehlen [sic!] und ihr Handy karpern. Der Virus schleicht sich von alleine in ihr System [sic! Komma fehlt.] ohne dass Sie es bemerken.

Ich gehe darauf inhaltlich nicht weiter ein, außer vielleicht diese eine Kleinigkeit: Es geht bei Stagefright nicht um „Daten per MMS stehlen“, sondern um „beliebigen Code in eine MMS (oder ein irgendwie, zum Beispiel bei einem Hangout, vom Wischofon verarbeitetes Video) einbetten und unbemerkt ausführen“. Der „Postbank Sicherheitszentale“ aus der wirren Kopfwelt dieser Spammer scheint das nicht so völlig klar zu sein, und offenbar setzen die Kriminellen auch darauf…

Einen ausführlichen Bericht über den Stagefright Virus finden sie auf Hier [sic!]

…dass ihre Opfer mit dem verlinkten Artikel auf Zeit Online intellektuell überfordert sind. Das sind ja immerhin Buchstaben, die Text formen, der gelesen werden will – und übrigens recht unklar ist, da er mutmaßlich von einem Journalisten ohne vertiefte technische Kenntnisse verfasst wurde. Eine etwas klarere Darlegung gibt es bei Heise Online.

So schützt die Postbank Sie!

1. Wenn Sie im Besitz einen Android-Handys dann folgen Sie bitte den Anweisungen!

Aha, die „Postbank“ schützt mich, indem ich den Anweisungen folge. Vielleicht sollten die „Sicherheitsexperten“ dort mal einen Deutschexperten einstellen, damit die Formulierungen nicht so mies klingen… 😀

2. Klicken Sie „hier“ oder öffnen Sie die Datei in ihrem E-Mail Anhang!

Ein Klick auf „Click here“ in einer digital unsignierten Mail eines Unbekannten ist immer ein ganz besonders großer Beitrag zur Computersicherheit…

3. Füllen Sie alle Daten aus und bestätigen Sie auf „Daten absenden“

Ich denke, die „Postbank“ will mich schützen. Stattdessen soll ich einen Anhang öffnen und ausfüllen. Dieser Anhang ist übrigens eine HTML-Datei. Wer Interesse daran hat: den Quelltext habe ich bei Pastebin hochgeladen. Das Wichtigste steht in Zeile 110, ich habe hier mal den interessanten Teil isoliert:

<form ... action="http://b.adress-datenabgleich.com/postbank_check.php" ...>

Die eingegebenen Daten gehen nicht an einen Server in der Domain der Postbank, sondern über die obskure und vor ein paar Tagen anonym registrierte Domain adress (strich) datenabgleich (punkt) com an einen von Verbrechern kontrollierten Server, der zu diesem Zeitpunkt erfreulicherweise schon vom Internet genommen wurde. (Ein Dank an den Hoster für die schnelle Reaktion! Aber es kann ja auch nicht jeder so langsam wie die Postbank sein, wenn millionenfacher Betrug durchgeführt wird…)

Welche Daten das sind? Diese Daten hier:

Screenshot des Anhanges mit einer Phishing-Seite im Design der Postbank. Unter der Überschrift 'Postbank Stagefright Virus entfernen' soll die E-Mail-Adresse, die Kontonummer und ein Passwort oder eine PIN eingegeben werden.

Wer den Verbrechern so Zugriff auf das Postbank-Konto gegeben hat und ihnen bestätigt hat, unter welcher Adresse die Spam ankommt und beklickt wird, darf sich schon „freuen“:

Der nigelnagelneue Trojaner, den garantiert noch kein Antivirus-Schlangenöl kennt, wird gleich hinterhergeliefert.

Wir senden ihnen umgehend eine E-Mail mit einer Software mit der Sie den Stagefright-Virus entfernen können.

Die allerdings sehr naheliegende Frage, warum die „Postbank“ nicht gleich jedem ihrer angemailten Kunden eine E-Mail mit einer derartigen Software zusenden sollte, die beantwortet der freundliche Phisher und Cracker nicht.

Übrigens ist „Stagefright“ kein Virus, außer vielleicht in einem eher skurillen Sinn des Wortes. Es ist eine schwere, auf vielerlei Wegen ausbeutbare Sicherheitslücke in Android.

Mit freundlichen Grüßen
Ihre Sabine Heinel
Postbank Newsletter-Redaktion

Wenn das die Freundlichkeit ist, will man den Hass nicht mehr kennenlernen.

¹Wischofon ist mein deutsches Wort für das Reklamewort „smart phone“. Es bezeichnet den Gegenstand nach der Tätigkeit, die am häufigsten auf ihn ausgeführt wird: Wischen mit den Fingern. Ich meine das nicht als Schimpfwort.

²Es ist gar nicht selten, dass jemand mehrere Konten hat.

Darlehen anbieten

Dienstag, 11. August 2015

So nannte sich der Kommentator mit einer aus Frankfurt kommenden IP-Adresse, der auf Unser täglich Spam den folgenden handgeschriebenen „Kommentar“ hinterlassen wollte, aber leider am bösen Spamfilter scheiterte:

Hallo
Ich bin Herr Laurent-Promotor Duplain Duplain Group, Besitzer von mehreren Produktionsunternehmen der Welt. Im Einvernehmen mit meinem Finanzberater und wegen der globalen Wirtschaftskrise haben wir beschlossen, Darlehen zu schweren Personen, ehrliche und gute Sitten dringend Geld zur Verfügung stellen.

Unser Angebot gilt für:
– Jeder, der Laden Mitarbeiter des Finanzrahmens, die Straße auf der offiziellen.
– Alle Personen, die keinen Zugang zu Krediten in einer Bank oder Finanzinstitute.
– Einzelpersonen nicht beschäftigt oder arbeitslos.
– Menschen CDD, temporäre, subventionierte Verträge … alle Verträge außerhalb CDI.
– Personen, die in schwierigen finanziellen Situation.
– Surendettements, stecken Bank.
– Auch für Anleger, Trader, die eine Verzinsung ihres Kapitals soll.
– Etc …

Unsere Zinssatz beträgt 3% pro Jahr in strikter Übereinstimmung mit dem Gesetz über den Wucher. Für weitere Informationen kontaktieren Sie uns bitte : laurentduplain (at) yahoo (punkt) fr

Danke

Ohne Worte.

Sie sind ein Gewinner

Montag, 10. August 2015

Wie, schon wieder?

Bitte offnen Sie die Anlage.
Die angehangte Datei ist sicher pdf-Datei.

Dank
Verwaltung

Ja, die angehängte Datei ist sicher eine PDF-Datei, das sehe ich schon an ihrem Namen. Sie enthält den Text mit allen seinen Fehlern, den ich jetzt schon das siebte Jahr in solchen Mails zur Einleitung eines Vorschussbetruges lese. Aber immerhin: Das Layout wurde etwas anders gemacht. Allerdings wurde es nicht besser gemacht:

Was sagt man noch zu solchen Ausflüssen der Stümperei, des Nichtskönnertums und der plumpen, ungelenken Dummheit? Am besten nur noch einen kurzen, knappen Abschied.

Dank
Hirn des Lesers

RE:

Sonntag, 9. August 2015

Achtung! Dada-Alarm!

Von: Zakayyah Tabassum Rana <Gefälschter Absender>
Antwort an: tr33ha (at) gmail (punkt) com

Gut, einen Reply-to-Header kann er setzen, unser Spammer. Jetzt aber dringend alle Flüssigkeiten aus dem Mundraum entfernen, denn wir wollen mal schauen, ob er auch einen tollen Text zur Einleitung eines Vorschussbetruges in seine Spam schreiben kann:

Hallo

Dies ist eine persönliche e-Mail an Sie für Ihre Betrachtung allein, fordere ich, dass es bleiben und werden nur als solche behandelt. Ich bin ein Banker mit Investec Bank hier in UK.

Ich habe eine interessante Business-Angebot für Sie, die immense Vorteile für uns beide werden. Obwohl dies schwer zu glauben sein kann, stehen wir $ 50 Millionen USD zwischen uns in wenigen Wochen zu gewinnen. Bitte gib mir den Vorteil des Zweifels und höre mich raus. Ich brauche dich um Ihr Interesse zu kennzeichnen, indem Sie auf diese e-Mail Antworten.

Am wichtigsten ist, werde ich Sie Versprechen zu halten, was Sie von mir zwischen uns lernen, auch wenn Sie sich entschieden haben, nicht mit mir zusammen zu brauchen. Ich werden weitere Details Sie bei Erhalt einer positiven Antwort von Ihnen zur Verfügung.

Grüße,

Trevor.

Ohne Worte.

Extra Qualität nach privater Norm

Samstag, 8. August 2015

Kannste dir gar nicht selbst ausdenken, diese in wohlklingen wollenden Worten gewandte Wirrniss wahnhafter Werbung auf einer Tüte Kartoffeln…

Gesehen bei Aldi Nord.

Warum man immer mit Adblocker surft!

Samstag, 8. August 2015

Hier geht es nicht um eine Spam, sondern um eine aktuelle Meldung zur Computersicherheit.

Vielleicht haben viele schon mitbekommen, dass es einen Fehler im integrierten PDF-Viewer des Firefox gab, der das Auslesen beliebiger lokaler Dateien und ihre Übermittlung an Kriminelle ermöglicht hat.

Wie haben die Kriminellen nun aber dafür gesorgt, dass verseuchte PDF-Dateien im Firefox dargestellt wurden? Nun, auf dem Weg, auf dem viele neue Angriffe gegen einen Browser vorgetragen werden:

Unbekannte haben ein Exploit der Schwachstelle über eine Anzeige auf einer russischen Webseite verbreitet

Über Werbung in Websites.

Wieder einmal.

Wer einen aktiven, wirksamen Adblocker hatte, konnte von diesem Angriff nicht erreicht werden. Nach wie vor handelt es sich bei den Adblockern um eine elementare Software zur Erhöhung der Computersicherheit, die einen wesentlichen Weg für Schadsoftware blockieren¹, so dass das – bei neuen Formen der Schadsoftware weitgehend machtlose – Antivirus-Schlangenöl² gar nicht erst scheitern kann. Und dieser einfach zu erzielende Zugewinn an Sicherheit verbindet sich mit einem schnelleren und ungestörteren Web-Erlebnis.

Dazu kann niemand „Nein“ sagen, der noch bei Troste ist.

Deshalb sollte man auch niemals ohne aktivierten Adblocker surfen!

In diesem Fall wären sogar Linux-Rechner angegriffen worden. Aber ein Werbeblocker hätte es an der Wurzel verhindert. Auf jedem Betriebssystem.

Und ganz wichtig: Wer noch nicht hat, sollte sich spätestens jetzt den aktuellen Firefox holen! Ein Fehler, der nicht mehr da ist, kann auch nicht mehr von Verbrechern ausgebeutet werden.

¹Wer jetzt sagt: „Aber Websites müssen sich doch finanzieren“, klicke bitte auf den Link und lese den Text bis zum Ende, denn ich gehe darauf ein.

²Wer sich an diesem zugegebenermaßen unsachlichen Wort für Antivirus-Produkte stört und meint, ich würde Menschen zu Leichtsinn aufrufen, lese bitte hier weiter und lasse sich von der völligen Sinnlosigkeit des Antivirus-Schlangenöls überzeugen. Wer dann immer noch meint, dass es einen Zugewinn an Sicherheit bietet, wenn man sich solche Technoquacksalberei auf seinem Computer holt, kann vermutlich durch nichts mehr dazu gebracht werden, einer dummen, allmedialen Reklame für irgendein Zeug zu misstrauen. Und ja: Auch die scheinbar redaktionellen Texte aus der Presse sind oft Werbung. Ich weiß aus eigener Erfahrung, wie stinkefaul und saudumm Journalisten sind und wie willfährig und wahllos sie gut gewählte Formulierungen einfach abschreiben, um sich dafür selbst als tolle Schreiber zu feiern. Wer sich aus Presse und Glotze informiert, wird eigentlich rund um die Uhr mit Reklame konfrontiert, davon in die gewünschte „Form“ gebracht und bleibt ansonsten dumm. Denn dumm kauft „gut“.

Du bist zu Dick!!

Freitag, 7. August 2015

Und du bist zu Doof!!

…wenn Du Dir das auch immer denkst wenn Du vor dem Spiegel stehst:

Herzlichen Glückwunsch Franzi

Wie heiße ich?

Ich habe die gleiche Spam übrigens auch mit den Namen „Bastian“, „Rabea“ und „Samira“. Einfach mal alle Vornamen durchprobieren, was, Spammer?! Vermutlich hast du da oben im Oberstübchen schon ordentlich abgemagert.

Du kannst jetzt abnehmen ohne Sport zu machen und ohne zu hungern!

Wie denn? Durch totale körperliche Auszehrung, verursacht von irgendeiner Giftscheiße, die mir ein Spammer als Medizin verkauft? Da bin ich aber irre heiß drauf!

Deutschlands erfolgreichstes Diätmittel ist jetzt rezeptfrei erhältlich! Ohne Nebenwirkungen – schneller Erfolg!

Das Zeug ist so erfolgreich, dass nicht einmal sein Name genannt werden muss. Dafür erfährt man aber auch nur aus Spam davon. Wenn ich deine Formulierungen „genieße“, Spammer, frage ich mich ja, wer deine Zielgruppe ist? Lobotomierte?

http://www.wundermittel-zum-abnehmen.net/[ID entfernt]/

Hui, die Domain ist schon drei Tage alt! Und natürlich schön anonym über einen Dienstleister aus Panama registriert, geht ja nur um Gesundheitsprodukte, was soll da auch nur der Anschein von Seriosität? Und hey, das Ziel zählt, und so ein Skelett ist ja auch ziemlich schlank…

Dafür kommt ein eventueller Markenname des „Wundermittels“ nicht im Namen der Domain vor.

Im Durchschnitt kannst Du zu 10 KG in nur 4 Wochen verlieren.

Im Durchschnitt kannst du dir 20.000 Ohrfeigen in nur vier Wochen einfangen, Spammer. Versprochen! Ach, das willst du nicht und tust deshalb alles dafür, dass die klatschenden Hände nicht den Weg zu deinen Wänglein finden? Nun, das kann ich sogar ein bisschen verstehen. Aber im Durchschnitt kannst du dir 20.000 Ohrfeigen in nur vier Wochen einfangen, Spammer!

Für Ihre offenen Fragen ruf uns einfach an! [sic!]

„Und wenn du eine Telefonnummer brauchst, dann denk dir einfach eine aus!“ Mann, Spammer, du bist so blöd, du scheinst dein Zeug wirklich selbst zu fressen.

Mit freundlichen Grüssen,

Wenn das die Freundlichkeit ist, will man den Hass nicht mehr kennenlernen, und…

Ihre Online Apotheke

…wenn das die Apotheke ist, will man den Quacksalber nicht mehr kennenlernen.

Sie sind bereits schlank genug?
http://www.wundermittel-zum-abnehmen.net/abm/[ID entfernt]/

Vor allem will ich nicht da schlank werden, wo du schlank bist. Deshalb komme ich ja auch nicht auf die Idee, dir noch mitzuteilen, dass deine idiotische Spam ankommt, damit ich noch mehr davon bekomme.

Deine Samira
und
deine Rabea
und
dein Bastian
und
deine Franzi

Re: Signed Invoice

Donnerstag, 6. August 2015

Die ist ja kurz!

Dear Sir,
The attached invoice is for FYI.

Best Regards.

So weit, so schlecht. Bei diesem kurz angebundenen Text erwarte ich eine knackige EXE-Datei in einem ZIP-Archiv; aber nein, es handelt sich wirklich um ein PDF. Dieses PDF sieht aber nicht aus wie eine Rechnung, sondern es sieht so aus:

Screenshot eines Teils des PDFs

So sieht zumindest die obere rechte Ecke des PDFs aus. Sie zeigt den Hinweis, dass es eine angehängte Datei gibt (als ob man das nicht in seiner Mailsoftware gesehen hätte), ein übergroßes PDF-Piktogramm und einen klicki klicki Linktext mit „Click here“. Der Link aus dem PDF ist kein direkter Link, sondern wird über einen URL-Kürzungsdienst umgeleitet. Und zwar auf eine Website…

Screenshot der gefährlichen Website

…die so tut, als sei sie Google, die aber in wenig überraschender Weise mit Google…

Detail: Die angezeigte URL in der Adressleiste des Browsers

…so viel zu tun hat wie eine kaputte Glühlampe mit dem hellen, warmen Sonnenlicht. Natürlich muss man Javascript freischalten, um irgendwas auf dieser Website von Kriminellen zu machen, und was man sich dort alles einfangen kann, verrät schon die Spam, der falsche Eindruck, es handele sich um Google und die merkwürdige Art, in der ein Link auf diese Site platziert wurde.

Selbstverständlich wird – neben dem angebotenen Download von Daten, die Kriminelle mit einer Spam untergejubelt haben – auch gleich das Google-Passwort abgefragt und zu diesem Geschmeiß gesendet, wenn man auf „Download“ klickt – aber ich hatte bei dem schönen Wetter heute keine Lust, den Rest der Javascript-Quelltexte zu lesen. Wenn es neben Phishing auch noch eine aktuelle Kollektion Schadsoftware gibt, bin ich davon nicht überrascht.

Was diese Spam interessant macht, obwohl sie in ihrer Machart eher primitiv ist: Die frühere Vorgehensweise mit dem „Dokument im ZIP-Archiv“ scheint für die Verbrecher nicht mehr so erfolgversprechend zu sein – was leider nicht heißt, dass ich solche Spams nicht mehr sähe – und so suchen sie nach neuen Wegen, um Leute zu überrumpeln.

Deshalb: Immer aufmerksam bleiben! Vor allem, wenn Unbekannte „Rechnungen“ oder „Mahnungen“ in Mailanhängen versenden, aber im Text der Mail nichts Substanzielles mitzuteilen haben (weil man sonst sofort bemerken würde, dass es sich um gegenstandslose Behauptungen handelt). So einen Müll einfach löschen und vergessen, es gibt nämlich Schöneres im Internet als Trojaner und sonstige Schadsoftware.