Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.


Ihre Bestellung ist auf dem Weg zu Ihnen! OrderID 0293126

Mittwoch, 21. September 2016, 14:42 Uhr

Achtung: Auf keinen Fall den Anhang öffnen! Es handelt sich um aktuelle und sehr gefährliche Schadsoftware, die von vielen Antivirusprogrammen zurzeit noch nicht erkannt wird. Generell sollten E-Mail-Anhänge immer mit äußerster Vorsicht behandelt werden, nicht nur, wenn jemand vor einer bestimmten E-Mail warnt.

Die Nummer nach OrderID im Betreff variiert natürlich.

Von: Kids Party World <service (at) kids (strich) party (strich) world (punkt) de>

Der Absender ist (wie beinahe immer in der Spam) eine Fälschung. Mein Exemplar dieser Spam wurde über die dynamisch vergebene IP-Adresse eines iranischen Telekommunikationsanbieters – also vermutlich über einen mit Schadsoftware übernommenen und in einem Botnetz missbrauchten iranischen Privatrechner – versendet. Die Spam hat niemals den im Absender angegebenen Server gesehen. Für den Menschen, dessen Rechner zurzeit von Kriminellen missbraucht wird, kann ich nur hoffen, dass die iranische Justiz in Internetdingen kompetenter ist als die deutsche, denn die in der Islamischen Republik Iran von Richtern ausgesprochenen Strafmaße sind wahrlich nicht von schlechten Eltern!

Sehr geehrter Kunde,

Ich will aber meine Kundennummer! Sonst ist mir das viel zu unpersönlich! :mrgreen:

Ihre Bestellung wurde am 21.09.2016 auf den Weg gebracht, bzw. von Ihnen bei uns im Lager abgeholt.

Welche Bestellung? Welche Vorgangsnummer? Von wann? Was wurde bestellt? Und was heißt hier „auf den Weg gebracht“? Habt ihr den Plunder vor eure Tür gestellt? :mrgreen:

Wie immer in der Schadsoftware-Spam steht im Text der Mail objektiv nichts, denn man soll ja einen Anhang aufmachen, um zu erfahren, um was es überhaupt geht.

Versanddienstleister für Standard Paketsendungen [sic!] ist die Firma DHL – für die Express Lieferungen [sic!] DHL-Express.

Blah! Für den Versand von Deppen Leer Zeichen ist DHL zuständig.

Eine Lieferadresse wäre doch auch mal interessant. Aber nein, man soll ja den Anhang aufmachen, und so steht eben nichts im Text der Spam.

Sollte Ihre Bestellung nicht in den nächsten 1-3 Werktagen (Mo – Sa) bei Ihnen eintreffen, dann wenden Sie sich bitte per eMail an uns.
Auslandsendungen innerhalb der EU, bzw. europ. Nachbarländer benötigen 2-5 Werktage (Mo – Fr).

EXPRESS Sendungen [sic!] werden grundsätzlich am nächsten Werktag bis 12.00 Uhr ausgeliefert. Express Samstags Sendungen [sic!] am folgenden Samstag bis 12.00 Uhr!

Blah. Aus einer anderen Quelle bezugslos in die Spam kopierter, völlig nichtssagender und nicht informativer Text, der zudem sehr peinliche Deppen Leer Zeichen der Marke „Express Samstags Sendungen“ enthält.

Einzelheiten der Lieferung können Sie über den folgenden Link einsehen:

http://nolp.dhl.de/nextt-online-public/set_identcodes.do?lang=de&idc=05841224279920

Ja, schon klar! Einfach eine Tracking-Nummer nehmen, die es gar nicht gibt, so dass man völlig legitim auf DHL verlinken kann und der Empfänger den Hinweis sieht, dass zu dieser Sendung gar keine Informationen vorliegen. Toller Trick! Allerdings stünde dort etwas anderes, wenn die Sendung „auf den Weg gebracht“ worden wäre…

Die DHL Tracking Nr. lautet:

05841224279920

Oh, wie nett! So muss ich sie nicht aus dem URI lesen. Das hat mich jetzt zwar nicht überfordert, aber immerhin sieht so der Text der Spam nach etwas mehr aus, ohne das etwas Inhaltliches mitgeteilt wurde. Könnt ihr Absender mir jetzt bitte mal sagen, was in dem Paket überhaupt drin ist?! Ach, um das zu erfahren, soll ich den Anhang mit eurer frischen Schadsoftware öffnen, schon klar…

Dass dieses Mailpapier aber auch immer so begrenzt ist! :mrgreen:

Bitte beachten Sie bei der Paketannahme den Zustand des Pakets. Wenn eine Beschädigung des Pakets vorliegt, bitten wir Sie diese von dem Zusteller aufnehmen zu lassen. Nur dann kann die Versandversicherung im Falle einer Beschädigung der Waren in Anspruch genommen werden.

Blah. Auch dieser Text wurde von irgendwo in die Spam kopiert und enthält keine für den Empfänger relevante Information. Immerhin wird mir diesmal eine „Paket Annahme“ und eine „Versand Versicherung“ erspart; es scheint sich um eine andere Quelle zu handeln. 😀

(Was wärt ihr nur ohne eure Zwischenablage, Spammer! Da müsstet ihr euch ja mühsam selbst die Texte ausdenken. Das passte so etwas von gar nicht zu euch. Denn wenn ihr euch Mühe geben wolltet, dann könntet ihr ja gleich arbeiten gehen…)

Eine Rechnungskopie zu Ihrer Information haben wir dieser eMail beigefügt.

Nicht einmal der Rechnungsbetrag wird erwähnt, auch keine Bankverbindung und nichts. Um überhaupt irgendetwas zu erfahren, muss man den Anhang öffnen, denn in der Spam steht nur bedeutungsleerer Blah. Genau das – dass man von vorgeblichen Zahlungsverpflichtungen aufgescheucht möglichst unter Umgehung des Gehirnes den Anhang öffne – ist nämlich das einzige Ziel der Spammer. Die haben diese Spam ja nicht aus dem Grund geschrieben, aus dem man normalerweise Mail schreibt: Um etwas mitzuteilen.

Vielen Dank für Ihren Einkauf in unserem Online Shop [sic!]

Vielen Dank für euer Deppen Leer Zeichen, das immer ein Zeichen leerer Deppen ist.

Wir freuen uns auf einen weiteren Besuch von Ihnen!

Aber ich war nie bei euch…

Mit freundlichen Grüßen,

Ihr Kids Party World Team

Kids Party World
Senefelder Str. 2
63110 Rodgau

Tel.: 06106/266xxxx
UstID: DE235212299

Die Kürzung der Telefonnummer ist von mir. Die in der Spam angegebene Telefonnummer gehört wirklich zu „Kids Party World“. Wer immer gerade an diesem Telefon sitzt, tut mir leid. Dem Spammer ist es natürlich egal, was er anrichtet; dem reicht es, wenn sein kriminelles Geschäft läuft. Egal, ob Menschen bis an den Rand des Nervenzusammenbruches terrorisiert werden oder ob die Reputation von Unternehmungen mit dem Missbrauch der Firmierung durch den Dreck gezogen wird. Spammer sind nun einmal asoziale Kriminelle, die für ein paar Groschen alles kaputt machen würden. Wenn es diese Widerlinge nicht gäbe, würde vermutlich nur die Mutter etwas vermissen. Und nicht einmal das ist sicher…

besuchen Sie uns auch auf Facebook:
https://www.facebook.com/kids.party.world.shopping

Wer mich dazu auffordert, die Website einer stinkenden Spamsau wie Facebook zu besuchen, braucht nicht damit zu rechnen, dass ich mit ihm jemals ins Geschäft kommen werde. Ganz im Gegenteil. Ich hasse nämlich Spam. Und Leute, die einen asozialen Spammer so offen unterstützen, sind die Spam.

Der Anhang

Der Anhang der Mail ist ein ZIP-Archiv…

$ unzip -l invoice_912408.zip 
Archive:  invoice_912408.zip
  Length      Date    Time    Name
---------  ---------- -----   ----
    33676  2016-09-21 12:49   IHPHICX18402.wsf
---------                     -------
    33676                     1 file
$ _

…das eine einzige Datei enthält. Die Dateinamenserweiterung .wsf ist eine Abk., die ausgeschrieben „Windows Script File“ bedeutet. Es handelt sich nicht um ein Dokument, sondern um eine ausführbare Datei für Microsoft Windows; um ein Programm, das von einem Spammer mit einer irreführend formulierten Mail zugestellt wurde. Das Programm ist vorsätzlich kryptisch formuliert, um eine Analyse durch Antivirus-Schlangenöl und menschliche Experten zu erschweren.

Es handelt sich zweifelsfrei um Schadsoftware.

Wer das ZIP-Archiv auspackt und die Datei unter Microsoft Windows doppelklickt, hat hinterher einen Computer anderer Leute auf dem Schreibtisch stehen.

Diese klare Schadsoftware wird zurzeit von rd. 85 Prozent der gängigen Antivirus-Schlangenöle nicht als Schadsoftware erkannt. Antivirus-Programme können immer nur Schadsoftware erkennen, die bei den Herstellern der Antivirus-Programme bereits bekannt ist. Sie versagen grundsätzlich bei aktueller Schadsoftware, wie man sie oft in derartigen Spammails zugestellt bekommt.

Deshalb ist es wichtig, dass man derartige Versuche selbst erkennt. Hinweise dazu (die Mail ist objektiv inhaltsleer, alles Wichtige steht erst im Anhang – das sind typische rhetorische Tricks in der Schadsoftware-Spam) habe ich hier und an vielen anderen Stellen gegeben. Grundsätzlich sollte niemals ein Anhang aus einer E-Mail geöffnet werden, wenn die Zustellung der Datei nicht über einen anderen Kanal als E-Mail explizit vereinbart wurde¹; und ein Anhang aus der Mail eines Unbekannten verbietet sich völlig. Es ist übrigens niemals so eilig, dass man nicht vor dem Öffnen telefonisch (oder via IM) rückfragen kann, ob die Mail echt ist.

Aber bitte nicht bei derartigen Spams rückrufen! Dass es sich hier um Spam handelt, lässt sich nämlich leicht an anderen Merkmalen erkennen. Die armen Seelen dort bei „Kids Party World“ am Telefon! 🙁

¹Warum ein anderer Kanal? Um sicher sein zu können, dass der Absender echt ist. Der Absender eine E-Mail kann kinderleicht und beliebig gefälscht werden. Deshalb sollte meiner Meinung nach jeder Mensch und jedes Unternehmen (insbesondere Banken) digital signierte E-Mail verwenden, um jenseits jedes vernünftigen Zweifels sicherstellen zu können, dass der Absender im Besitz eines bestimmten privaten Schlüssels ist. Das ist relativ einfach und kostet kein Geld, bringt aber viel für die Computersicherheit und gegen die Organisierte Kriminalität im Internet. Ich rede allerdings in diesem Punkt seit zwei verdammten Jahrzehnten gegen Wände aus betonhafter Dummheit.

3 Kommentare für Ihre Bestellung ist auf dem Weg zu Ihnen! OrderID 0293126

  1. Müller sagt:

    Habe es zwar noch gemerkt aber die Mail ist echt Fies, hat lange bei mir oben getickert .
    Danke für die Aufklärungsarbeit Elias !

  2. Christian sagt:

    Mein Tip dazu:

    Um den Windows Script Host zu disablen:

    https://technet.microsoft.com/en-us/library/ee198684.aspx

    Das schaltet die Scripts aus und gibt Warnung aus dass ein Skript nicht ausgeführt wird weil abgeschaltet.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert