Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.


Vorname Nachname Ihre Abrechnung 60600263 vom 26.04.2016

Dienstag, 26. April 2016, 13:21 Uhr

Diese Spams sind die Pest des heutigen Tages. Es gibt unglaublich viel davon.

Anstelle von „Vorname Nachname“ stand hier der richtige bürgerliche Name des Empfängers. Den hätte der Spammer zwar auch in das Empfängerfeld schreiben können, aber in der Betreffzeile wirkt es nun einmal alarmierender, und alarmieren will dieser Spammer. Denn er hat frische Schadsoftware anzubieten, die man sich nach einer Überrumpelung installieren soll, indem man einen Mailanhang öffnet.

Von: Rechnungsstelle Amazon AG <ebay (at) ebay (punkt) de>

So so, eBay und Amazon sind neuerdings fusioniert… schade eigentlich, dass die das selbst noch gar nicht gemerkt haben. :mrgreen:

Der Spammer will hier natürlich die Kunden zweier beliebter Websites erreichen und zur Installation von Schadsoftware motivieren – aber die Art, wie er es getan hat, ist so, als würde in einer Absenderadresse als Klarname „etwas bei Volkswagen“ angegeben, und dazu eine Mailadresse in der BMW-Domain. Wenn man so etwas sieht, kann man sofort Zuckungen im Löschfinger bekommen. Es handelt sich ganz sicher um eine Spam von Kriminellen, deren Absender gefälscht ist.

Es gibt genau die gleiche Masche (mit geringfügigen Änderungen, aber ebenfalls mit dem Merkmal der erwähnten Anschrift) auch als angebliche Mail mit dem Absender „Rechtsanwalt GiroPay AG“ und der gefälschten Absenderadresse service (at) giropay (punkt) de und vermutlich in einigen weiteren Geschmacksrichtungen mehr.

Sehr geehrte(r) Vorname Nachname,

leider haben wir festgestellt, dass unsere Zahlungsaufforderung NR606002630 bisher ergebnislos blieb. Heute gewähren wir Ihnen nun letztmalig die Möglichkeit, den nicht gedeckten Betrag der Firma Amazon AG zu begleichen.

Ganz schlimme Zahlungsaufforderung. Sie hat eine Nummer. Denn Nummern sind wichtig. Um was geht es? Steht da nicht. Von wann ist sie? Steht da nicht. Objektiv steht da gar nichts und man soll völlig grundlos Geld bezahlen – wenn man mal von dem kleinen Patzer des Autors absieht, dass man „nicht gedeckte Beträge von Amazon begleichen“ kann. Schön, dass man seinen Beitrag dazu leisten darf, Amazon vor der Insolvenz zu bewahren.

Niemand würde sich so unklar ausdrücken, wenn es um Geld geht.

Nachdem so wenig Konkretes gesagt wurde, hat der Spammer allerdings auch etwas Konkreteres mitzuteilen – auch wenn der Empfänger das schon längst kennt:

Verbindliche Personalien:

Vorname Nachname
Straße Hausnummer
Postleitzahl Wohnort

Tel. Telefonnummer

Hier steht im Original der Name und die korrekte Anschrift des Empfängers nebst seiner korrekten Telefonnummer. Ich habe zurzeit mehrere derartiger Spams von Lesern, die allesamt eine korrekte Anschrift und eine korrekte Telefonnummer enthalten. Wo die Daten herkommen, ist mir zurzeit unklar – aber Spammer sind seit mehreren Jahren darum bemüht, auf allen nur denkbaren Wegen zu möglichst vielen Mailadressen weitere Daten zu erhalten und in großen Datenbanken zusammenzuführen. Meine spontane Vermutung ist, dass diese Daten über trojanische Apps aus Smartphone-Adressbüchern abgegriffen werden. In einem Fall war die angegebene Telefonnummer seit mindestens einem Jahr nicht mehr aktuell (das Mobiltelefon ging verloren). Der Datenbestand, aus dem sich die Spammer bedienen, scheint also mindestens ein Jahr alt zu sein. Allerdings sind auch viele Adressbücher in Smartphones nicht die Aktuellsten. Näheres dazu kann ich aber erst sagen, wenn mir ein paar Fälle bekannt sind, in denen die Quelle der Daten völlig klar ist, weil zum Beispiel eine ganz spezifische, nur in einem Kontext verwendete E-Mail-Adresse vom Spammer verwendet wurde, so dass man der Sache auf die Spur kommen kann.

Wer hierzu weitere Hinweise geben möchte, kann einfach einen Hinweis in den Kommentaren geben, so dass alle Leser etwas davon haben. Ich gehe davon aus, dass Millionen von diesen Spams unterwegs sind – und ich selbst habe „leider“ nur eine nicht-personalisierte mit der gleichen Schadsoftware-Brut. (Wer nach einer solchen Spam zu Recht etwas paranoid geworden ist: Natürlich kann man sich hier einfach einen Namen und eine Mailadresse für den Kommentar ausdenken, eine Registrierung ist nicht erforderlich.)

Das ist ein gutes Beispiel dafür, warum Datenschutz wichtig ist. Eine ansonsten ganz durchschnittliche Schadsoftware-Spam wird ungleich gefährlicher, wenn sie mit solchen Daten personalisiert wurde.

Aufgrund des andauernden Zahlungsverzug sind Sie verpflichtet dabei, die durch unsere Inanspruchnahme entstandene Gebühren von 44,40 Euro zu bezahlen. Bei Fragen oder Unklarheiten erwarten wir eine Kontaktaufnahme innerhalb von drei Werktagen. Um weitete Kosten auszuschließen, bitten wir Sie den ausstehenden Betrag auf unser Konto zu überweisen. Berücksichtigt wurden alle Zahlungseingänge bis zum 25.04.2016.

So so, Kontaktaufnahme in drei Tagen – und eine Kontaktmöglichkeit ist nicht angegeben. Dafür wird es richtig teuer. Wofür, wird nicht gesagt. Sind halt Gebühren. Die entstehen halt. Wisst schon. Wer erschrocken ist und von seiner leichten Panik verdummt etwas Näheres erfahren möchte…

Eine vollständige Kostenaufstellung Nr. 606002630, der Sie alle Positionen entnehmen können, fügen wir bei.

…muss einen Anhang einer E-Mail öffnen, die mit gefälschtem Absender einen falschen Eindruck erwecken will, um rauszukriegen, um was zum hackenden Henker es hier überhaupt geht.

In den mir vorliegenden E-Mails ist dieser Anhang ein ZIP-Archiv, in dem ein ZIP-Archiv liegt, in dem eine ausführbare Datei für Microsoft Windows liegt. In einem Exemplar gibt es keine doppelte Verpackung, sondern nur eine einfache. In keinem Fall handelt es sich um ein Dokument, auch wenn das Piktogramm einen falschen Eindruck vom Charakter der Datei erwecken will.

Es handelt sich völlig klar um Schadsoftware. Diese wird zurzeit von den meisten Antivirus-Programmen nicht als Schadsoftware erkannt. Wer sich auf diesen Schutz verlassen hat, ist verlassen. So genannte Antivirus-Programme funktionieren nämlich nicht. Und wenn man sich wegen dieser Programme sicher fühlt und deshalb glaubt, unüberlegt handeln zu dürfen, sind diese Programme sogar gefährlich und arbeiten der Organisierten Kriminalität zu.

Deshalb ist es wichtig, dass man derartige Spam selbst erkennt und niemals darin herumklickt, sondern sie löscht. (Wer mag, kann natürlich gern zur Polizei gehen und Strafanzeige erstatten, aber über die Ermittlungschancen sollte man sich keine Illusionen machen.) Grundsätzlich sollte niemals ein E-Mail-Anhang geöffnet werden, der nicht vorher explizit und über einen anderen Kanal als E-Mail abgesprochen wurde – und niemand sollte sich vom Absender einer Mail verblenden lassen, denn dieser ist beliebig fälschbar¹.

Wir erwarten die Zahlung bis zum 28.04.2016 auf unser Bankkonto. Falls wir bis zum genannten Termin keine Überweisung einsehen, sehen wir uns gezwungen Ihre Forderung an ein Gericht abzugeben. Alle damit verbundenen Zusatzkosten werden Sie tragen.

Jedes Unternehmen, das auch Geld bekommen möchte, würde an dieser Stelle seine Bankverbindung und den Betrag angeben. Der Spammer will aber nur, dass ein Anhang geöffnet wird.

Sollten Sie den Rechnungsbetrag bereits vorab an uns gezahlt haben, ist dieses Schreiben nur für Ihre Unterlagen bestimmt. Sollten Sie Fragen haben, stehen wir Ihnen gerne zur Verfügung.

Klar, eine E-Mail nur für meine Unterlagen… 😀

Und die Fragen stellt man wo? Ach, Kontaktdaten gibts keine.

Mit freundlichen Grüßen

Rechnungsstelle Silas Krantz

„Freundlich“ wie eine Ohrfeige

Dein Schadsoftware-Spammer mit dem aktuellen Erpressungstrojaner

¹Die ganzen Internet-Unternehmen könnten damit anfangen, ihre Mail digital zu signieren, um dieser Form der Kriminalität (und dem Phishing) nach und nach das Wasser abzugraben. Sie tun dies nicht. Die technische Lösung für die digitale Signatur von E-Mail steht seit 25 Jahren jedem zur Verfügung, der sie nutzen möchte. Sie tun dies trotzdem nicht. Die technische Lösung steht seit über anderthalb Jahrzehnten in freier und kostenlos nutzbarer Form jedem zur Verfügung, der sie nutzen möchte. Sie tun dies trotzdem nicht. Die ganzen Unternehmen, die sich angesichts der gegenwärtigen Kriminalität aus nicht nachvollziehbaren Gründen (ich nenne sie einfach mal in Ermangelung besserer Erklärungen Verantwortungslosigkeit und Arschlochhaftigkeit) weigern, ihre Kunden zu schützen, indem sie den Verfasser und unverfälschten Inhalt ihrer E-Mails überprüfbar sicherstellen, tragen eine erhebliche Mitschuld am Erfolg der gegenwärtigen Internet-Kriminalität, vom Phishing bis zum Erpressungstrojaner.

Danke an die diversen Einsender dieser wirklich gefährlichen Spam! Ein spezieller Dank geht an Hans.

7 Kommentare für Vorname Nachname Ihre Abrechnung 60600263 vom 26.04.2016

  1. Ely sagt:

    So eine Email kam gestern bei uns ebenfalls an, plus mit korrekter Adresse, witzigerweise an jemanden adressiert, der hier knapp seit 8 Jahren nicht mehr wohnhaft ist. Eine Telefonnummer stand da auch bei, aber diese Nummer existiert seit knapp 12 Jahren (!) nicht mehr.

    Ich vermute stark, dass die Adressen von alten Gewinnspiellisten oder ähnlichem abgegriffen wurden, jedenfalls in unserem Fall, weil was anderes kann ich mir da nicht vorstellen.

  2. Ely sagt:

    Nachtrag zu meinem oberen Kommentar:
    Die Daten (Vorname+Adresse) beziehen die anscheinend von alten Datenbanken aus Ebay, habe heute quasi den Beweis bekommen, da die 12 Jahre alte Telefonnummer bei dem Ebayaccount des ehemaligen Bewohners angegeben wurde, als der Account registriert wurde.

    • AP sagt:

      Auch ich habe so eine Mail bekommen.

      Ich vermute stark, dass es aus der Ebay Richtung kommt, da ich die Daten die in der Mail angeführt wurden nur ein einziges mal (und sonst nirgends!) für die Einrichtung eines Ebay-Kontos verwendet habe.

      Entweder hat Ebay die Daten verkauft oder gibt nichts vom Datenleck bekannt.

      • Mai sagt:

        Ziemlich verspätet hat auch mich eine derartige Mail erreicht.
        In meinem Fall sind es auch eindeutig die Daten von Ebay. Ich habe damals aus Trotz bei der Anmeldung eine Telefonnummer angegeben, die bereits zu diesem Zeitpunkt nicht mehr existierte und genau jene wurde in der dubiosen Mail verwendet.

  3. Walter sagt:

    Ja Leute daran seid ihr selber Schuld das ihr jeden Müll in die Mail bekommt. Werbung etc dämliche Mails gibt es bei mir nicht obwohl ich Windows benutze. Ein anständiger Browser E-Mail gute Addons machen mich im Net so gut wie unsichtbar. Der ganze Müll wurde mir zu viel, selbst das Tel ist still. Einfach überall rumtippen geht heute nicht mehr, man muss lernen, dauert halt ein paar Monate. Also beschwehrt euch nicht ihr seid selber schuld.

    • Sonja sagt:

      Lieber Herr Walter,

      ich hab auch eine sehr ähnlich formulierte Email erhalten und bin durch Google auf diese Site aufmerksam geworden (DANKE).

      Wenn es so ist, wie von Ely und AP vermutet, dann könnten auch SIE sich nicht davor schützen. Denn wenn Sie sich bei einem seriösen Shop oder bei einer Plattform wie ebay anmelden, so müssen Sie Ihre korrekten Daten angeben (ansonsten erhalten Sie die Ware ja auch garnicht). Ebenso, wenn es wie im Beitrag beschrieben, von Adressbüchern auf Smartphones abgegriffen wird, denn wie wollen Sie Ihren Freunden verbieten, Ihre Adresse & Tel-Nr zu speichern. Trotz aller Vorsicht können dennoch Daten geklaut und missbraucht werden.

  4. Sonja sagt:

    Danke für die Hinweise. Ich erhielt eine sehr ähnlich formulierte Nachricht. Und an eine Email-Adresse, die ich nur in bestimmten Situationen weitergebe. Die schwammigen, aber (fast) fehlerfreien Formulierungen haben mich trotz korrekter Adresse & Tel stutzig gemacht. Dank Google bin ich hier dann fündig geworden. DANKE.

    Zusätzlicher Hinweis zu all den Empfehlungen im Artikel: Man sollte sich auch mal die erweiterten Infos zum Absender und Email anschauen. Dort taucht bei mir z.B.
    Return-Path: oder auch an anderen Stellen russische Adressen auf. Über solche Versandwege werden kaum Bankmitteilungen verschickt.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert