Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.


Tagesarchiv für den 3. September 2016

Shipping information

Samstag, 3. September 2016

Dear customer,

Ich bin aber „Liebe 13a9-32-04872 Kundennummer“ und nicht „Lieber Kunde“.

Our shipping service is sending the order form due to the request from your company.

Ich habe auch kein Unternehmen. Und nicht habe nichts angefordert. Und ich werde nichts bestellen.

Please fill the attached form with precise information.

Zielgruppe sind natürlich Mitarbeiter richtiger Unternehmen, die jetzt den Anhang aufmachen sollen, um einen Erpressungstrojaner im Unternehmensnetzwerk zu installieren. Ja, es handelt sich um Schadsoftware. Nein, es ist kein Dokument.

Very truly yours,
Adele Bernard

Du mich auch!

Ich sage es immer wieder, und ich muss es doch noch einmal wiederholen. E-Mail ist ein praktisches, aber auch gefährliches Medium. Es ermöglicht unter anderem Kriminellen, anderen Leuten Dateien zusammen mit einem Vorwand zuzustellen. Jeder Link in einer E-Mail und jede Anhang einer E-Mail ist als gefährlich zu betrachten. Immer. Auch, wenn das Antivirus-Schlangenöl keinen Alarm gibt. Niemals einen E-Mail-Anhang öffnen, der nicht vorher explizit und über einen anderen Kanal als E-Mail vereinbart wurde! Niemals auf eine E-Mail hereinfallen, weil der Absender zu passen scheint, denn der Absender einer E-Mail ist beliebig fälschbar! Immer telefonisch zurückfragen! Und am besten dafür Sorge tragen, dass nur noch digital signierte E-Mail verwendet wird, bei der man den Absender jenseits jedes vernünftigen Zweifels sicherstellen kann. Das kostet nicht einmal Geld. Und es ist nicht schwierig. Ich sage es immer wieder. Ich spreche es in die Flammen, ich spreche es in das Nichts, vor mir rollt eine Welt voll schreiender Dummheit vorbei, die Verbrecher jubeln auf einem Berg von Bitcoin… :(

Zum „Glück“ ist es diesmal ein etwas „älterer“ Vertreter, der das erste Mal am 1. September 2016 zu VirusTotal hochgeladen wurde; und deshalb wird die klare Schadsoftware inzwischen schon von der Hälfte der populären Antivirus-Schlangenöle erkannt. Es wäre ja auch echt jetzt mal und wirklich zu viel verlangt, wenn binnen zwei Tage jedes dieser Schlangenöle gegen die aktuell umlaufenden Seuchen funktionieren würde! :(

Wie üblich handelt es sich um ein angehängtes ZIP-Archiv…

$ unzip -l 18bbe011a687.zip 
Archive:  18bbe011a687.zip
  Length      Date    Time    Name
---------  ---------- -----   ----
    95801  2016-09-03 08:35   D1B2DB19_shipping_service.js
---------                     -------
    95801                     1 file
$ _

…in dem diesmal wieder ein Javascript-Programm für den Windows Script Host liegt. Dies ist eine ausführbare Datei für Microsoft Windows, die bei einem Doppelklick ausgeführt wird. Dieses Programm ist vorsätzlich unverständlich gecodet, um eine Analyse und eine Erkennung durch Antivirus-Software zu erschweren. Es ist klare Schadsoftware. Nach dem dummen Doppelklick steht ein Computer anderer Leute auf dem Schreibtisch. Wenn das in einem Unternehmen passiert, kann sich die Seuche auch im gesamten Unternehmensnetzwerk verbreiten. Weil ein einziger Mensch so naiv war, einen Mailanhang zu „öffnen“ und damit ein Programm von Verbrechern auszuführen.

Und deshalb öffnet man keine Dateien aus einer E-Mail, deren Zustellung nicht vorher über einen anderen Kanal als E-Mail abgesprochen wurde… ach! Ich spreche in die Flammen, ich spreche in das Nichts. :(

Compliments

Samstag, 3. September 2016

Von: gammelfleisch@tamagothi.de
An: gammelfleisch@tamagothi.de

Nicht, dass noch ein Empfänger übersieht, dass der Absender dieser Spam gefälscht ist!

Hello!

Genau mein Name!

We are looking for employees working remotely.

Du suchst also neue Hilfsgeldwäscher, Konten und Briefkästen. Wer diese „Jobs“ macht, ist dir völlig egal, deshalb suchst du mit Spam.

My name is Cherie, I am the personnel manager of a large International company.

Du hast dir einen Namen ausgedacht und einen tollen Job bei einem riesigen Unternehmen, für das dir leider kein Name eingefallen ist. Dieses Unternehmen…

Most of the work you can do from home, that is, at a distance.
Salary is $2500-$5000.

…hat tolle „Jobs“ im Angebot, die es nur über illegale und asoziale Spam loswird, obwohl sie gutbezahlt sind und man nichts dafür können muss.

If you are interested in this offer, please visit Our Site

Der Link geht in eine Domain, die…

$ surbl traveltoolpro.com
traveltoolpro.com	LISTED: ABUSE 
$ _

…schon für massenhafte Verwendung in Spam auf die Blacklist gekommen ist. Das Skript, mit dem ich schnell eine SURBL-Abfrage mache, gibt es übrigens hier. Ich finde es bequemer, an der Kommandozeile eine Abfrage zu machen, als auf einer Website ein Captcha zu lösen.

Best regards!

Du mich auch!

Bleibt nur noch eine Frage für die Neugierigen: Wohin wird man geführt, wenn man auf den Link in der Spam klickt, und welchen Weg nimmt man durchs Internet. Nun, hier eine ganz kleine Untersuchung an der Kommandozeile:

$ loc() { lynx -mime_header "$1" | sed '/^\s*$/q' | grep -i "location"; }
$ _

Ja, ich werde das etwas öfter tippen, deshalb mache ich lieber eine Funktion dafür. Das macht es übrigens auch einfacher, die folgende (übrigens nicht einmal vollständig durchwanderte) Weiterleitungskette nachzuvollziehen:

$ loc http://traveltoolpro.com/libraries/rokcommon/RokCommon/I18N/Platform/bi.php
Location: http://silvervphop.com/?a=400642&c=rom
$ loc "http://silvervphop.com/?a=400642&c=rom"
Location: http://worlduufording.com/?a=400642&c=rom
$ loc "http://worlduufording.com/?a=400642&c=rom"
Location: http://320-iq.worlduufording.com/de/hfkt/inteligen/
$ loc http://320-iq.worlduufording.com/de/hfkt/inteligen/
Location: http://worlduufording.com/de/mfto/forskolin/
$ loc http://worlduufording.com/de/mfto/forskolin/
Location: http://worlduufording.com/de/inbg/forskolin/
$ loc http://worlduufording.com/de/inbg/forskolin/
Location: http://worlduufording.com/de/xsvl/forskolin-trial/
$ loc http://worlduufording.com/de/xsvl/forskolin-trial/
Location: http://worlduufording.com/de/wgbg/forskolin-trial/
$ loc http://worlduufording.com/de/wgbg/forskolin-trial/ 
Location: http://worlduufording.com/de/ulaw/forskolin/
$ loc http://worlduufording.com/de/ulaw/forskolin/
Location: http://worlduufording.com/de/rczi/forskolin/
$ loc http://worlduufording.com/de/rczi/forskolin/ 
Location: http://worlduufording.com/de/kwyt/forskolin-trial/
$ loc http://worlduufording.com/de/kwyt/forskolin-trial/
Location: http://worlduufording.com/de/muax/forskolin/
$ loc http://worlduufording.com/de/muax/forskolin/
Location: http://worlduufording.com/de/spsw/forskolin/
$ loc http://worlduufording.com/de/spsw/forskolin/
Location: http://worlduufording.com/de/orum/forskolin/
$ _

:shock:

Ich erspare dem gequälten Leser den Rest der Weiterleitungskette dieses Links aus der Spam. Wie sehr das spammende Pack es nötig hat, sich hinter sinnlosen Weiterleitungen zu verschanzen, ist hoffentlich auch bei dieser unvollständigen Einsicht deutlich genug geworden. Am Ende landet man in der Domain head (strich) binary (punkt) com, die auch schon…

$ surbl head-binary.com
head-binary.com	LISTED: ABUSE
$ _

…in Blacklists auftaucht, weil sie massenhaft in Spams verwendet wurde. Dieser gesamte Mummenschanz mit den Weiterleitungen hat also nicht viel genützt. Die scheinbare „Zielseite“ ist dann noch einmal eine in Javascript realisierte Weiterleitung auf eine Website in der Domain profitformula1 (punkt) com, die erwartungsgemäß…

$ surbl profitformula1.com
profitformula1.com	LISTED: ABUSE
$ _

…ach, ihr wisst schon.

Und, was haben diese extraseriösen Spezialexperten nun für einen „Job“ anzubieten?

Screenshot der betrügerischen Website

Um das nach dieser endlosen Kaskade von Weiterleitungen und Javascript-Weichen zu erfahren, muss man einfach nur noch einmal auf ein Klickeknöpfchen klicken, nachdem einem gar nichts von Arbeit, aber dafür von zwölftausend Dollar im Monat ohne Kreditkarte und ohne Ausgeben von Kleingeld vorgeschwindelt wurde. Wer dann auf dieses Knöpfchen klickt – es könnte ja ein leckerer Keks erscheinen, wenn man darauf klickt, also klickt man mal darauf – sieht nicht etwa eine Stellenanzeige und auch keine Beschreibung, wie man denn jetzt mühelos, kenntnislos und ohne jegliche Investition reich werden kann, sondern einfach nur eine Aufforderung…

Screenshot der Aufforderung, einen Namen und eine E-Mail-Adresse einzugeben

…dem Spammer seinen Namen zusammen mit seiner E-Mail-Adresse zu geben, um endlich zu erfahren, um was zum heftig hackenden Henker es hier überhaupt geht. Das macht man doch gern, der schreibt ja auch immer so nette Spam, dieser Spammer. Und hat so ein schönes Foto von einem Balkonplatz und wolkenlosem Himmel, hoch erhaben über den Mühen dieser Welt, ein spammiger Fiebertraum des Reichtums. Wer würde dem nicht auch noch seinen richtigen Namen sagen, damit er noch ein bisschen besser spammen kann? Wer hat keine Lust, sich von dem noch ein paar tolle Lügen durchzulesen? Doch nur ein Mensch mit einem Gehirn.

Aber an Menschen mit einem Gehirn richtet sich dieser Spammer nicht. Die löschen ja auch schon die dümmlich formulierte Spam, statt darin rumzuklicken…