Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.


Message notification

Sonntag, 31. Januar 2016, 16:12 Uhr

Nun, diese Mail…

Screenshot der HTML-formatierten Spam, die so aussieht, als käme sie von Google -- Google Support -- sag (at) ich (punkt) net -- Mckenna Balley (Google Service) just sent you a message: -- 1/31/2016 -- Message you sent blocked by our bulk email filter -- [Link] Learn more -- [Button] View Messages -- This e-mail was sent to sag (at) ich (punkt) net -- Don't want occasional updates about Google activity? [Link] Change what email Google Service sends you

…kommt nicht von Google. Die Absender haben sich zwar ein bisschen Mühe gegeben, sie so aussehen zu lassen, aber allzuviel Mühe haben sie sich dann doch nicht gegeben, denn sonst hätten sie das aktuelle Logo von Google verwendet¹ und nicht eines, das Google selbst nicht mehr benutzt. Und wenn sich die Spammer nicht nur ein bisschen, sondern richtig Mühe geben würden, dann könnten sie ja auch arbeiten gehen und brauchten nicht zu spammen.

Der Link und der Button führen dann auch erwartungsgemäß nicht zu Google, sondern in die Domain libfin (punkt) by, wo ein Leser mit deaktiviertem Javascript eine weiße Seite zu sehen bekäme. Diese Seite ist mitnichten leer, sondern enthält unsinnigen, vom Computer erzeugten „Text“ und eine vorsätzlich kryptisch formulierte Javascript-Weiterleitung, die nach einer kurzen Verzögerung zur Ausführung der folgenden Javascript-Anweisung führt:

window.top.location.href='http://homesupplementsale.ru';

Wer ein Browser-Addon wie NoScript verwendet und so nicht jeder Website in einem technischen, anonymisierenden Medium das Ausführen von Code im Browser gestattet – was ich wärmstens empfehle – ist hier ans Ende angekommen und auf der sicheren Seite. Ansonsten gibt es die Weiterleitung auf eine Website, deren Fassade wie eine Betrugsapotheke der Machart „Canadian Pharmacy“ aussieht – gegen Erkältungsbeschwerden gibt es dort natürlich keine Hilfe.

Diese Website hat sich im „Web of Trust“ schon einen „beachtlichen“ Ruf erworben, der unter anderem solche Einblicke gibt (Hervorhebung von mir):

Kriminelle Website, die aktiv gefälschte Medikamente verkauft, spammt und Schadsoftware verteilt. Diese kriminelle Website muss in die Blacklists aufgenommen und stillgelegt werden!

Nun, auf den Blacklists ist die kriminelle Website schon. Das ist gut.

Oder so etwas:

Der einzige Zweck dieser Domain/Website ist es, an persönliche und an finanzielle Daten zu kommen, um damit zu betrügen. Eine Spam enthielt einen Link auf eine Website, die offensichtlich in boshafter Weise gecrackt wurde.

Man kann sich jetzt fragen, wie die Spammer auf die Idee kommen, dass eine Nachricht von Google die Bereitschaft des Empfängers erhöhen kann, Pimmelpillen zu kaufen. Das erscheint auch mir sehr unwahrscheinlich. Aber es wird ja auch vor Schadsoftware gewarnt, und auch ohne eingehende Analyse sieht das HTML der Website teilweise sehr verdächtig aus, wie etwa die folgende Zeile:

<img src="a1b4214db9ea8e8c6c9590ebf6e0325863c6.gif?1454249649" alt="" width="0" height="0" /><script type="text/javascript" src="a8bd2a44ce9327e6b8eaeb92899971abfeb9.gif?1454249650"></script>

Niemand, der nichts Übles im Schilde führt, würde eine Javascript-Datei .gif nennen, damit sie wie ein Bild aussieht – von dem auch ansonsten sehr unhandlichen Dateinamen, der jede spätere Pflege der Website erschwert, einmal ganz abgesehen. Der Webserver würde das Javascript ja sonst mit völlig falschem MIME-Type ausliefern, was nur Probleme bereiten kann…

Ich kann es nicht oft genug sagen: NoScript im Browser schützt vor solchen kriminellen Angriffen auf den Browser. Antivirus-Schlangenöl versagt hingegen häufig. Wenn sie bei der täglichen Nutzung des Internet mehr Computersicherheit benötigen oder haben möchten als die von Werbern und Journalisten versprochene „gefühlte Sicherheit“ durch ein Antivirus-Schlangenöl, dann verwenden sie auf jeden Fall einen wirksamen Adblocker (der ausnahmslos alle Ads blockt) und ein Browser-Addon, mit dem sie selbst anderen Websites das Privileg einräumen, Code im Browser auszuführen, statt dieses Privileg von einer Software automatisch an jeden vergeben zu lassen und dabei auf ihr Glück zu hoffen!

Der vom „Journalisten“ völlig unreflektiert und mutmaßlich von Google dafür bezahlt ins CMS übernommene Google-PR-Blah im verlinkten Artikel ist übrigens ein Beispiel für Schleichwerbung, oder, wie Werber und Journalisten (was beinahe zum Selben verkommen ist) diese Leserverachtung neuerdings, damit nicht jeder sofort versteht, wie sein Hirn mit Füßen getreten wird, zu nennen pflegen: „Content Marketing“. Wer so etwas Halbseidenes seinen Lesern zumutet, darf sich nicht darüber wundern, wenn es nichts wird mit seinem Geschäft mit dem Content! Ich sehe derartiges – und manches noch viel deutlichere Beispiel – inzwischen fast jeden verdammten Tag irgendwo, und ich war mehrfach kurz davor, für so etwas eine Kategorie „Schleichwerbung“ in Unser täglich Spam aufzumachen, weil ich diese Form der ungekennzeichneten Reklame für besonders fragwürdig und widerlich halte. Leider lässt es sich fast nie sicher belegen, sondern stets nur begründet vermuten, dass für solche Reklame Geld geflossen ist, und in der Bundesrepublik Deutschland mit ihrem vollumfänglichen Rechtsschutz für beleidigte Leberwürste, der freien Wahl des Gerichts durch den Kläger in Internet-Dingen und der regelmäßig absurden und klägerfreundlichen Rechtsprechung in der Hamburger Dunkelkammer sowie der rechtlichen Grauzone von Pressezitaten unter den Bedingungen des von Verlegern in unbeleuchteten Winkeln des Reichstages herbeilobbyierten „Leistungsschutzrechtes für Presseverleger“ wäre eine Auseinandersetzung mit dieser Unkultur mit einem völlig unkalkulierbaren juristischen Risiko verbunden, das für mich – und für Frank, der mir diesen Server zur Verfügung stellt – potenziell existenzbedrohend ist. Freuen sie sich schon darauf, dass sie in der nächsten Sonntagsrede einer obszönen politischen Selbstfeier hören können, wie wichtig die „Pressefreiheit“ und die „Meinungsfreiheit“ für eine „demokratische“ Gesellschaft sind! Ach!

Diese Spam ist ein Zustecksel meines Lesers E.T.

2 Kommentare für Message notification

  1. Barbara sagt:

    Danke für die ausführliche u leicht verständliche Erklärung. Ich war zum Glück misstrauisch genug, die mail nicht zu öffnen.
    Es wäre sicher hilfreich, auch die Anbieter der Antivirus-Programme zu informieren. Mein Schutzprogramm hat – wie du richtig geschrieben hast – nicht reagiert.

    • […] die Anbieter der Antivirus-Programme zu informieren

      Dadurch, dass ich etwas auf VirusTotal checken lasse und hinterher meine Einschätzung abgebe, dass es sich um Schadsoftware handeln könnte, wird die Brut bei diversen Antivirus-Anbietern bekannt und auch angeschaut. Ein paar Tage später sieht es dann meist viel besser aus. Das Problem ist, dass die Antivirus-Anbieter nur eine Schadsoftware erkennen können, die sie schon kennen – so dass die Halunken immer einen Schritt voraus sind und oft mit trivialen Abwandlungen unerkannte Schadsoftware machen können. Deshalb halte ich Antivirus-Programme ja auch für gefährlich, wenn man sich auf „den Schutz“ verlässt. So genannte „Antivirus-Programme“ funktionieren nicht einmal bei den Anbietern der Antivirus-Programme.

      Es handelt sich beim Antivirus-Programm eben um eine Ergänzung. Wichtiger ist, dass man Spam sicher erkennen kann und niemals reinklickt, dass man generell sehr misstrauisch gegenüber E-Mail ist und dass man seinen Webbrowser so gut wie möglich dicht macht, indem man nicht jedem Javascript gestattet und einen wirksamen Adblocker benutzt – und das Betriebssystem und die verwendete Software immer aktuell hält, weil ein Fehler, der beseitigt wurde, nicht mehr von Kriminellen ausgenutzt werden kann.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert