Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.


Monatsarchiv für Januar 2016

Message notification

Sonntag, 31. Januar 2016

Nun, diese Mail…

Screenshot der HTML-formatierten Spam, die so aussieht, als käme sie von Google -- Google Support -- sag (at) ich (punkt) net -- Mckenna Balley (Google Service) just sent you a message: -- 1/31/2016 -- Message you sent blocked by our bulk email filter -- [Link] Learn more -- [Button] View Messages -- This e-mail was sent to sag (at) ich (punkt) net -- Don't want occasional updates about Google activity? [Link] Change what email Google Service sends you

…kommt nicht von Google. Die Absender haben sich zwar ein bisschen Mühe gegeben, sie so aussehen zu lassen, aber allzuviel Mühe haben sie sich dann doch nicht gegeben, denn sonst hätten sie das aktuelle Logo von Google verwendet¹ und nicht eines, das Google selbst nicht mehr benutzt. Und wenn sich die Spammer nicht nur ein bisschen, sondern richtig Mühe geben würden, dann könnten sie ja auch arbeiten gehen und brauchten nicht zu spammen.

Der Link und der Button führen dann auch erwartungsgemäß nicht zu Google, sondern in die Domain libfin (punkt) by, wo ein Leser mit deaktiviertem Javascript eine weiße Seite zu sehen bekäme. Diese Seite ist mitnichten leer, sondern enthält unsinnigen, vom Computer erzeugten „Text“ und eine vorsätzlich kryptisch formulierte Javascript-Weiterleitung, die nach einer kurzen Verzögerung zur Ausführung der folgenden Javascript-Anweisung führt:

window.top.location.href='http://homesupplementsale.ru';

Wer ein Browser-Addon wie NoScript verwendet und so nicht jeder Website in einem technischen, anonymisierenden Medium das Ausführen von Code im Browser gestattet – was ich wärmstens empfehle – ist hier ans Ende angekommen und auf der sicheren Seite. Ansonsten gibt es die Weiterleitung auf eine Website, deren Fassade wie eine Betrugsapotheke der Machart „Canadian Pharmacy“ aussieht – gegen Erkältungsbeschwerden gibt es dort natürlich keine Hilfe.

Diese Website hat sich im „Web of Trust“ schon einen „beachtlichen“ Ruf erworben, der unter anderem solche Einblicke gibt (Hervorhebung von mir):

Kriminelle Website, die aktiv gefälschte Medikamente verkauft, spammt und Schadsoftware verteilt. Diese kriminelle Website muss in die Blacklists aufgenommen und stillgelegt werden!

Nun, auf den Blacklists ist die kriminelle Website schon. Das ist gut.

Oder so etwas:

Der einzige Zweck dieser Domain/Website ist es, an persönliche und an finanzielle Daten zu kommen, um damit zu betrügen. Eine Spam enthielt einen Link auf eine Website, die offensichtlich in boshafter Weise gecrackt wurde.

Man kann sich jetzt fragen, wie die Spammer auf die Idee kommen, dass eine Nachricht von Google die Bereitschaft des Empfängers erhöhen kann, Pimmelpillen zu kaufen. Das erscheint auch mir sehr unwahrscheinlich. Aber es wird ja auch vor Schadsoftware gewarnt, und auch ohne eingehende Analyse sieht das HTML der Website teilweise sehr verdächtig aus, wie etwa die folgende Zeile:

<img src="a1b4214db9ea8e8c6c9590ebf6e0325863c6.gif?1454249649" alt="" width="0" height="0" /><script type="text/javascript" src="a8bd2a44ce9327e6b8eaeb92899971abfeb9.gif?1454249650"></script>

Niemand, der nichts Übles im Schilde führt, würde eine Javascript-Datei .gif nennen, damit sie wie ein Bild aussieht – von dem auch ansonsten sehr unhandlichen Dateinamen, der jede spätere Pflege der Website erschwert, einmal ganz abgesehen. Der Webserver würde das Javascript ja sonst mit völlig falschem MIME-Type ausliefern, was nur Probleme bereiten kann…

Ich kann es nicht oft genug sagen: NoScript im Browser schützt vor solchen kriminellen Angriffen auf den Browser. Antivirus-Schlangenöl versagt hingegen häufig. Wenn sie bei der täglichen Nutzung des Internet mehr Computersicherheit benötigen oder haben möchten als die von Werbern und Journalisten versprochene „gefühlte Sicherheit“ durch ein Antivirus-Schlangenöl, dann verwenden sie auf jeden Fall einen wirksamen Adblocker (der ausnahmslos alle Ads blockt) und ein Browser-Addon, mit dem sie selbst anderen Websites das Privileg einräumen, Code im Browser auszuführen, statt dieses Privileg von einer Software automatisch an jeden vergeben zu lassen und dabei auf ihr Glück zu hoffen!

Der vom „Journalisten“ völlig unreflektiert und mutmaßlich von Google dafür bezahlt ins CMS übernommene Google-PR-Blah im verlinkten Artikel ist übrigens ein Beispiel für Schleichwerbung, oder, wie Werber und Journalisten (was beinahe zum Selben verkommen ist) diese Leserverachtung neuerdings, damit nicht jeder sofort versteht, wie sein Hirn mit Füßen getreten wird, zu nennen pflegen: „Content Marketing“. Wer so etwas Halbseidenes seinen Lesern zumutet, darf sich nicht darüber wundern, wenn es nichts wird mit seinem Geschäft mit dem Content! Ich sehe derartiges – und manches noch viel deutlichere Beispiel – inzwischen fast jeden verdammten Tag irgendwo, und ich war mehrfach kurz davor, für so etwas eine Kategorie „Schleichwerbung“ in Unser täglich Spam aufzumachen, weil ich diese Form der ungekennzeichneten Reklame für besonders fragwürdig und widerlich halte. Leider lässt es sich fast nie sicher belegen, sondern stets nur begründet vermuten, dass für solche Reklame Geld geflossen ist, und in der Bundesrepublik Deutschland mit ihrem vollumfänglichen Rechtsschutz für beleidigte Leberwürste, der freien Wahl des Gerichts durch den Kläger in Internet-Dingen und der regelmäßig absurden und klägerfreundlichen Rechtsprechung in der Hamburger Dunkelkammer sowie der rechtlichen Grauzone von Pressezitaten unter den Bedingungen des von Verlegern in unbeleuchteten Winkeln des Reichstages herbeilobbyierten „Leistungsschutzrechtes für Presseverleger“ wäre eine Auseinandersetzung mit dieser Unkultur mit einem völlig unkalkulierbaren juristischen Risiko verbunden, das für mich – und für Frank, der mir diesen Server zur Verfügung stellt – potenziell existenzbedrohend ist. Freuen sie sich schon darauf, dass sie in der nächsten Sonntagsrede einer obszönen politischen Selbstfeier hören können, wie wichtig die „Pressefreiheit“ und die „Meinungsfreiheit“ für eine „demokratische“ Gesellschaft sind! Ach!

Diese Spam ist ein Zustecksel meines Lesers E.T.

Geldьberweisung.

Samstag, 30. Januar 2016

Lieber Freund.
Guten Tag.
Arlen ich meinen Namen und ich schreibe Ihnen aus den Niederlanden.

Es ist diese groЯe Menge an Geld, die hier in das Bankkonto eines unserer spдten Kunden aus dem Irak ein Цlhдndler , starb durch eine Bombenexplosion in Tikrit 140 Kilometer nordwestlich von Bagdad im Jahr 2004.

Wir haben alles getan, um jede Forschungsfamilienmitglied ohne Erfolg zu erhalten, und da er die Anzahlung ohne die nдchsten Angehцrigen, ist es mцglich, wie der Leiter der Abteilung von meiner Bank, alles Erforderliche zu tun, Dokument durch die Hilfe eines Anwalts hier so, dass das Geld legal zu Ihnen bezahlt werden.

Der Gesamtbetrag in seiner Dollar-Konto ist USD $ 48.000.000.
Wenn Sie interessiert sind, mit mir zu arbeiten, lassen Sie mich wissen, damit ich Sie alle Details, wie wir Unterwegs geben Geld von hier aus ohne Verzцgerung. 50% des Geldes wird fьr Sie und den Rest 50% sein fьr mich und meine Kollegen in der Bank.

Es besteht kein Risiko in dieser. Schreib mir direkt durch meine persцnliche E-Mail fьr vertraulich. { arlen (punkt) jansen (at) aim (punkt) com }

Ich warte, um von Ihnen zu hцren.

Arlen Jansen

Ohne Worte.

Große rote Edelrose von Rosenbote

Freitag, 29. Januar 2016

Diese Spam eines Affiliate-Partners¹ eines deutschen Versenders ist eine Nichtkaufempfehlung, und wenn man mich danach fragt, sogar eine Niemalskaufempfehlung:

Screenshot meines Mailclients. Eine große grafische Reklame mit einem Bild einer Rose und der werbenden Aufforderung 'Verschenken Sie Freude! z.B. große rote Rose, nur 9,90€ inklusive Grußkarte, Riesenblüte, rosenbote.de

Die 233,1 KiB unverlangt zugestellten, „freudigen“ JPEG-Anhanges, die durch die Base-64-Codierung in der Mail übrigens zu rd. 300 KiB Datenmüll-Stopfmasse aufgeplustert sind, wurden mir mutmaßlich von einem „Geschäftspartner“ der Klitsche mit der in der Grafik angegebenen URL als Spam in das Postfach gemacht – und das Wort mutmaßlich steht hier nur, um die Hure Justitia zu besänftigen, denn ich kann mir beim besten Willen zurzeit keinen Grund vorstellen, warum jemand anders einen mir zuvor völlig unbekannten Blumenverhökerer mit einer derartigen illegalen und grenzkriminellen „Werbeaktion“ neue Kunden zutreiben sollte.

Nun, wer illegale und asoziale Spam für eine „Freude“ hält, der darf gern den illegal und asozial vorgehenden Spammern ihre stinkenden Geschäfte ermöglichen. Andere Menschen mit einem anderen Begriff von „Freude“ werden sich hoffentlich für lange Zeit merken (und das auch nach Möglichkeit gern und häufig weitersagen), dass die Rosen doch lieber an einem anderen Ort als ausgerechnet beim Spammerfinanzierer rosenbote (punkt) de gekauft werden sollten. Denn Spam ist immer ein ganz schlechtes Zeichen, das mindestens darauf hindeutet, dass jemandem sowohl seine Legalität als auch seine Reputation völlig egal sind. Welche Erfahrungen man mit solchen Gestalten erwarteterweise machen wird, lässt sich durch Benutzung eines handelsüblichen Gehirnes schon mittlerer Leistungsfähigkeit bereits im Vorfeld abschätzen.

¹Die über einen Wust von zwei Weiterleitungs-Skripten angehängte Affiliate-ID lautet übrigens: belboon=03898e092c8d01f913003ce1,4465685, – nur für den Fall, dass dieser Versender doch Wert auf seine Reputation legt. Die Verwendung solcher Praktiken sollte eine fristlose Kündigung jedes Vertrages ermöglichen.

Spam-Splitter

Freitag, 29. Januar 2016

Oh, doch wieder so viele?! :shock:

Betreff: Die ganze Nacht Fic…: Jetzt rezeptfrei aus der Apotheke

Die ganze Nacht was? Fichtenholz vielleicht? Das ist aber nicht apothekenpflichtig. :mrgreen:

Guten Tag!

Gute Nacht!

This is for you dear

Ja, habe ich schon gemerkt. Daran, dass der Müll in meinem Posteingang rumliegt.

Hi Tamagothi

Gut, dass ich nicht die Domain rotten (punkt) com besitze.

Freuen Sie sich auf rezeptfreie Pillen aus einer offiziellen Apotheke mit unschlagbar gutem und schnellen Kundensupport.
Bezahlen Sie risikofrei mit Paypal oder Nachname oder Vorkasse.

Davon, dass die Giftpillen risikofrei sind, ist allerdings nicht die Rede.

I am a financial consultant to an investor from a Mineral-Oil Rich African Country with sensitive political background who wants to invest outside his country and without the appearance of his name on the investments

Ich bin der vollkompetente Geldkompetenzmensch, der immer die Millionen irgendwelchen Leuten in die Hand drückt, weil sie so eine schöne Mailadresse haben.

Ich vertrete eine Investition Interesse von Dubai interessiert an Investitionen im Ausland, die große Volumen der Mittel, für-was wir suchen Ihre Teilnahme als Übersee-Vertreter, um die Investition in Ihrem Land zu behandeln

Du vertrittst vor allem ein Spam-Interesse von Spam-Bande interessiert an Spam im Ausland, die große Volumen der Spams, für-was hast du viele Empfänger deren Sprachen du nicht können tun als Spampostfach, um die Spam in ihr Postfach zu machen.

Sie werden staunen, was technisch alles möglich ist…und das ganz umsonst

Also mich bringt so eine Spam nicht mehr zum Staunen, und daran, dass die nichts kostet, habe ich mich auch schon gewöhnt.

Du hast eine neue Freundschaftsanfrage von Maria erhalten

Oh, heute wieder Frauentag in der Spam?

Du hast eine neue Freundschaftsanfrage von Kathrin erhalten

Aber so viele Namen! :mrgreen:

eine Nachricht von Yvonne Werner konnte Dir nicht zugestellt werden

Manchmal sogar mit Nachnamen!

eine Nachricht von Kathrin Pfeiffer konnte Dir nicht zugestellt werden

Ganz viele Namen! Und immer nur Frauen, die sich für mich interessieren.

eine Nachricht von Samira Beck konnte Dir nicht zugestellt werden

Und immer immer mehr…

eine Nachricht von Sandra Sander konnte Dir nicht zugestellt werden

…und mehr. Ob mein armer, kleiner Freudenstab da noch mithalten kann?

Mit dem Rabattcode
go2016
bekommst Du heute alle Erekitons-Pillen 20% billiger

Gut, die Spam hat sogar für die Probleme aus der Spam eine Lösung. :mrgreen:

Die glucksnummer: 11-17-26-42-47, haben in der zweitens kategorie gewonnen.Sie sind damit gewinner von: 2,200,000.00 Euros (ZWEI MILLIONE ZWEI HUNDERT TAUSEND EUROS)

Und mit meinem Gewinn bei der Lotterie, bei der ich noch nie ein Los gekauft habe, kann ich mir so viele Pimmelpillen leisten, dass ich nie wieder eine Hose anbekomme.

Auszahlung GARANTIERT! Geld zurück Garantie! Vom Anwalt auf Legalität geprüft!

Wow, eine Auszahlung mit Geld-zurück-Garantie! :shock:

Da diese Förderung begrenzt ist, bitten wir Sie unsere Internetseite zu besuchen

Da es draußen nicht regnet, bitte ich den Spammer, sich zu erschießen!

Echte goldene Mastercard mit Hochprägung

Toll, dass ihr die „Echtheit“ eurer überteuerten „Prepaid-Kreditkarte“ echt jetzt mal betonen müsst!

God Bless you richly

Gut, dass dieser Gott nicht mehr Heuchelei mit einem zünftigen Feuerregen abstraft!

Mit freundlichen Grüßen

Mit billig gespielter Freundlichkeit…

Pia Schulz
Serviceteam

A. Nonym
Spammer

Wir lieben Dich :)
Patrick Schauberger

Da will ich den Hass von Patrick aber nicht mehr kennenlernen…

Abmelden: http://www.7w1k3.xyz/abm/G7y151a5u8nt/

Ihr lOweẞ3028orQd!dL könnt mich auch mal!

Entf!

SFLEX Rechnung

Donnerstag, 28. Januar 2016

Zunächst das Wichtigste: Die Mail, die ich untersucht habe, wurde über eine dynamisch vergebene IP-Adresse aus Tunesien versendet und nicht etwa irgendwo in Freiburg. Sie kommt nicht von der S:FLEX GmbH. Sie wurde von Verbrechern versendet. Mit einem Botnetz aus Computern, die mit Schadsoftware übernommen wurden. Der Absender ist gefälscht. (Es ist übrigens kinderleicht, den Absender einer Mail zu fälschen.) Die Mitarbeiter des Unternehmens, dessen Firmierung und Reputation hier von Kriminellen in den Dreck gezogen wird, tun mir leid, denn sie werden sich heute mit vielen verärgerten Menschen herumschlagen müssen. (Die Website der Unternehmung ist übrigens zurzeit nicht erreichbar, und zwar vermutlich nur wegen der Besuche durch hunderttausende Spamempfänger.) Diese kriminelle Spam hat bereits jetzt einen ordentlichen Schaden angerichtet.

Sehr geehrte Damen und Herren,

vielen Dank für Ihren Auftrag.

Im Anhang erhalten Sie die Rechnung zu unserer aktuellen Lieferung.

Kurzes Spamkompetenztraining! Was bedeutet wohl diese Kombination von Merkmalen:

  1. Die Mail geht angeblich von einem Unternehmen an einen Kunden, die Ansprache ist aber unpersönlich;
  2. der Auftrag, um den es geht, ist nicht genauer beschrieben und völlig unklar;
  3. es gibt dazu eine Rechnung, aber irgendwelche wichtigen Angaben zum Rechnungsbetrag, zur Bankverbindung, zum Zahlungsziel fehlen im Text der Mail, als ob es dort keinen Platz mehr gäbe; und
  4. alles weitere kann nur dadurch geklärt werden, dass ein Mailanhang geöffnet wird?

Bingo! Es handelt sich um eine Spam, an der eine Schadsoftware hängt. Der Anhang wird das reinste Gift sein. Es handelt sich diesmal um ein Word-Dokument¹…

$ file xxxxxx.doc | sed 's/, /\n/g'
xxxxxx.doc: Composite Document File V2 Document
Little Endian
Os: Windows
Version 6.1
Code page: 1251
Title: functional
Author: Microsoft Office
Template: Normal.dot
Last Saved By: Microsoft Office
Revision Number: 2
Name of Creating Application: Microsoft Office Word
Total Editing Time: 01:00
Create Time/Date: Thu Jan 28 05:44:00 2016
Last Saved Time/Date: Thu Jan 28 05:44:00 2016
Number of Pages: 1
Number of Words: 1
Number of Characters: 10
Security: 0
$ _

…dessen Text aus einem einzigen Wort auf einer Seite besteht – diese vorgebliche „Rechnung“ enthält also nicht einmal die Aufforderung „Geld her“, die schon zweier Worte bedarf. Im Dokument ist ein Makro, das einen Installer für kriminelle Schadsoftware nachlädt und ausführt.

Es handelt sich um aktuelle Schadsoftware, die zurzeit von den meisten Antivirus-Programmen noch nicht erkannt wird. Deshalb ist es so wichtig, derartige Spam selbst zu erkennen und niemals auf die Idee zu kommen, einen Anhang einer Spam zu öffnen. Generell sollten Mailanhänge mit äußerster Vorsicht behandelt werden, denn dabei handelt es sich um einen der Hauptverbreitungswege für die höchst asoziale und kriminelle Schadsoftware-Pest der spammenden Verbrecher.

Und wie schon gesagt:

Mit freundlichen Grüßen

Michael Dietrich
Projektleiter Gestelltechnik

S:FLEX GmbH Freiburg
Sasbacher Str. 7
79111 Freiburg

Tel.: +49 (0) 761 888 5xxx 54
Fax: +49 (0) 761 888 5xxx 39
Mobil: +49 (0) 173 70 70 xxx
m (punkt) dietrich (at) sflex (punkt) com
www (punkt) sflex (punkt) com

Der Absender der Spam ist gefälscht und die Angaben unter der Mail – ich habe die Telefonnummern mal unkenntlich gemacht, weil dort momentan Menschen kurz vorm Nervenzusammenbruch an der Leitung hängen werden – haben ebenfalls nichts mit dem Absender zu tun. Es gibt keine Möglichkeit, den wirklichen Absender dieser kriminellen Belästigung zu erreichen, denn dieser bevorzugt aus naheliegenden Gründen die Anonymität. Strafanzeigen wegen versuchter Computersabotage nimmt die Polizei oder Staatsanwaltschaft entgegen, aber die Ermittlungsaussichten sind… ähm… nicht so toll. Aber irgendwann macht auch dieses Pack mal einen Fehler…

Nachtrag: Inzwischen ist die Website der S:FLEX GmbH wieder erreichbar. Ich lege den dort Verantwortlichen nahe, einen deutlichen Hinweis auf die Spam auf ihrer Startseite zu platzieren, um Empfänger zu warnen und die betrieblichen Kräfte auf gewinnbringendere Dinge als eine Flut von Rückfragen auszurichten. Im Moment (15:10 Uhr) ist das nicht der Fall. (Aber ich kann mir gut vorstellen, was dort gerade los ist! Das kleine Serverchen, auf dem Unser täglich Spam läuft, steht jedenfalls wegen dieser einen Spam ordentlich unter Last.)

¹Im originalen Dateinamen ist ein Name enthalten, deshalb die Unkenntlichmachung.

Reservierungsliste

Mittwoch, 27. Januar 2016

Das ist die heutige Pest im Posteingang!

Von: Velotours Touristik <reservierung (at) velotours (punkt) de>

Diese E-Mail (also das eine Exemplar aus der Flut, das ich mir gerade vorgeknöpft habe) wurde über eine dynamisch vergebene IP-Adresse aus Taiwan versendet, kommt also vermutlich von einem mit Schadsoftware zum Bot gemachten Privatrechner. Der Absender ist – wie immer in der Spam – gefälscht. Die armen Mitarbeiter von Velotours, die heute eine Menge Arbeit mit verärgerten Empfängern dieser Spam haben werden, tun mir leid. Einen asozialen, kriminellen Spammer interessiert das leider nicht, und die wirtschaftlichen Schäden bei anderen nimmt er billigend in Kauf, wenn nur das eigene „Geschäftchen“ läuft.

Sehr geehrte Damen und Herren,

anbei finden Sie unsere neue Reservierungsliste.

Ihr VELOTOURS-Team

Kleines Spamkompetenztraining. Was bedeutet die folgende Kombination von Merkmalen:

  1. Unpersönliche Anrede von einer Unternehmung, die so tut, als sei man dort Kunde.
  2. In der Mail steht nichts Substanzielles.
  3. Alles weitere erfährt man nur durch Öffnen eines Mailanhanges.

Bingo! Es ist mit an Sicherheit grenzender Wahrscheinlichkeit eine Schadsoftware im Anhang.

In diesem Fall ist der Anhang ein Dokument für Microsoft Word. Dieses Dokument¹…

$ file ResLi_9_Lauf_3261_vom_27.01.2016.DOC | sed 's/, /\n/g'
ResLi_9_Lauf_3261_vom_27.01.2016.DOC: Composite Document File V2 Document
Little Endian
Os: Windows
Version 5.1
Code page: 1251
Author: Administrator
Template: Normal.dot
Last Saved By: User
Revision Number: 7
Name of Creating Application: Microsoft Office Word
Total Editing Time: 03:00
Create Time/Date: Wed Jan 27 11:07:00 2016
Last Saved Time/Date: Wed Jan 27 11:15:00 2016
Number of Pages: 1
Number of Words: 27
Number of Characters: 511
Security: 0
$ _

…enthält stolze 27 Wörter auf einer einzigen Seite. Es wurde im Verlaufe dreier Minuten zusammengetippt, und zwar von jemanden, der sich mit dem Namen „Administrator“ registriert hat. Das ist eine ausgesprochen kurze „Reservierungsliste“.

Und in der Tat, es kommt hier nicht auf den Text an. Der sieht übrigens so aus:

If this document has incorrect encoding - enable macro -- gefolgt von leckerem Zeichensalat...

Nun, das Makro soll automatisch ausgeführt werden. Bei aktuellen Versionen von Microsoft Office ist die automatische Ausführung standardmäßig deaktiviert. Wer auf die dumme Idee kommt, auf den Wunsch eines Unbekannten hin die Ausführung von Makros zu gestatten, um etwas anderes als die sondersame Lyrik eines auf den Tasten herumprügelnden Schimpansen lesen zu können; wer die Standardeinstellung verstellt hat oder wer eine ältere Version von Microsoft Word verwendet, bekommt eine kostenlos installierte Version von Schadsoftware, deren Installer von der URL http (doppelpunkt) (doppelslash) parass (punkt) si (slash) 54t4f4f (slash) 7u65j5hg (punkt) exe nachgeladen wird. Hinterher steht ein Computer anderer Leute auf dem Schreibtisch – und diese Leute wären besser mit Handschellen bedient.

Wer sich sicher fühlt, weil er ja ein Antivirus-Schlangenöl auf seinem Rechner hat, ist in diesem Fall leider in fast allen Fällen verlassen. Deshalb ist es auch so wichtig, dass man Spam selbst erkennt und sie löscht, statt darin herumzuklicken. Bei aktueller Schadsoftware versagt das Antivirusprogramm regelmäßig – und zwar sogar bei den Unternehmen, die Antivirus-Schlangenöl herstellen. Generell sollten niemals Mailanhänge geöffnet werden, deren Zustellung nicht vorher explizit (und über einen anderen Kanal als E-Mail) abgesprochen wurde – und generell gibt es keinen einzigen Grund dafür, Informationen nicht ganz normal in die Mail zu schreiben, statt sie in einem Anhang zu versenden.

¹Das Unix-Kommando file dient eigentlich dazu, den Dateitypen festzustellen, gibt aber bei vielen Dateitypen interessante Meta-Informationen aus. Die anschließende Pipe auf sed ist nur eine Verbesserung der Lesbarkeit, da sonst alles mit Komma getrennt in einer Zeile ausgegeben würde.

Sie können im Moment leider nicht mit PayPal bezahlen.

Mittwoch, 27. Januar 2016

Danke für den Punkt am Ende des Betreffs, den Menschen beinahe nie setzen würden, Spammer jedoch sehr häufig. Er erleichtert die Spamfilterung enorm.

Von: <promo (strich) support (at) register (punkt) it>

Weia, Spammer! Wenn du schon den Absender fälschst, dann könntest du doch wenigstens einen aus der Domain paypal (punkt) com nehmen.

Guten Tag,

Ich heiße aber „Hallo“.

Sie können im Moment leider nicht mit PayPal bezahlen.

Das hast du schon im Betreff gesagt.

Am 02. jan 2016 haben wir versucht, 23,30 EUR von Ihrem Bankkonto mit den Endziffern x-xx 91 abzubuchen.

So so, ein Problem mit dem Konto mit den Endziffern xxx91 bei der Bank ohne Namen. Immerhin, bei jedem hundertsten Empfänger trifft wenigstens das zu, und mancher mag sogar die komische Schreibweise übersehen. Da kann man dann glatt vergessen, dass man nur „Guten Tag“ heißt.

Wir haben eine automatische Antwort von Ihrer Bank erhalten, aus der hervorgeht, dass die Überweisung nicht abgeschlossen werden konnte.

Oh, diese Banken, die immer automatisch antworten!

Daher haben wir dieses Bankkonto aus Ihrem Konto entfernt.

Na, wenn ihr meint.

Bitte klicken Sie auf „Aktualisierung“ und bestätigen Sie sich durch einen Abgleich Ihrer Daten als rechtmäßiger Inhaber. Im Anschluss können Sie Ihr Paypal-Konto wieder uneingeschränkt nutzen.

Aktualisierung

Der Link geht natürlich nicht zu PayPal, sondern in die Domain deutch (punkt) 890m (punkt) com, deren Name vermutlich seine Ursache darin hat, dass der Spammer sich nicht so sicher war, wie man „deutsch“ schreibt. :D

Zu schade, dass PayPal offenbar die Rechnung für das kostenlose Hosting nicht bezahlt hat und dass der Hoster die Phishing-Seite schon entfernt hat – ich mache doch so gern Screenshots von diesen Versuchen. Trotzdem: Ein Danke an Hostinger! Wenn es immer und überall so schnell ginge, könnten schon viel weniger naive und unerfahrene Menschen auf solche Betrugsnummern reinfallen.

Grundsätzlich gilt: Niemand „bestätigt sich als rechtmäßiger Inhaber“, wenn er PayPal gegenüber lauter Dinge noch einmal angibt, die PayPal schon längst kennt. Die Geschichten in Phishing-Mails sind sehr durchschaubar, wenn man sich nicht in Panik versetzen lässt, sondern kurz nachdenkt. Leider scheinen sie immer noch oft genug zu funktionieren, so dass sich Phishing für die Kriminellen lohnt.

Wir entschuldigen uns für mögliche Unannehmlichkeiten.

Oh, das ist aber nett! :D

Mit freundlichen Grüßen
Ihr Team von PayPal

Freundlich wie ein Strafzettel
Dein Phishing-Spammer

Copyright © 1999–2016 PayPal. Alle Rechte vorbehalten.

Nein, einen Server von PayPal hat diese Mail niemals gesehen.

Geschäftsangebot

Dienstag, 26. Januar 2016

Geschäftsangebot

Das hast du schon im Betreff gesagt.

Hallo, Mein Name ist Herr Feng LI.

Einen schönen Namen hast du. Ich heiße allerdings nicht „Hallo“.

Deine Spam kam übrigens nicht aus China, sondern von einer dynamisch vergebenen IP-Adresse eines Londoner Telekom-Unternehmens, also von einem mit Schadsoftware übernommenen und zum Bot der Kriminellen gemachten Rechner eines Privatmenschen.

Ich habe ein Geschäft Vorschlag für Sie von 44,5 MillionenDollar.

Du willst einem „Hallo“ also einen ordentlichen Batzen Geld in die Hand drücken? Das klingt aber nicht so glaubwürdig. :mrgreen:

Ich gebe Ihnen mehr Details in meinem nächsten Mail.

Einzelheiten dazu gibts erst in der nächsten Spam, wenn man dir geantwortet hat. Da erfährt man dann auch, dass es gar nicht so einfach wird, den Zaster zu bewegen – und im weiteren Verlauf muss man immer mehr Vorleistungen anonymisierend über Western Union und Konsorten abdrücken. Verfahren wie Banküberweisungen und Schecks, die dich deanonymisieren würden, magst du gar nicht, weil du lieber in den Puff als in den Knast gehst.

Bitte kontaktieren Sie mich durch meine private E-Mail-Adresse ein:

fengli04 (at) rogers (punkt) com

Man kann nicht in der Mailsoftware auf „Antworten“ klicken, wenn man dir antworten will. Der Absender deiner Spam ist gefälscht. Eine ideale Grundlage für eine geschäftliche Vertrauensbeziehung. Vor allem, wenn es um ganz viel Geld geht. :mrgreen:

Sprechen Sie Englisch? Vielen Dank!

Ja, ich spreche Englisch. Und du, sprichst du Deutsch? Nein? Warum schreibst du dann nicht einfach gleich auf Englisch? Das kann hier in Deutschland jeder halbwegs Gebildete. Ach, „halbwegs gebildet“ ist das Problem, die fallen auf deinen Betrug nicht so leicht rein… :D

Herr Feng LI

fengli04 (at) rogers (punkt) com

Der Absender deiner Spam ist gefälscht. Das wird auch durch Wiederholungen nicht seriöser. :D