Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.


Monatsarchiv für Juni 2017

Hello:Buyer, Company printing info

Samstag, 17. Juni 2017

Von: Miss Freda <Freda@cngiftcard.com>
An: gammelfleisch@tamagothi.de

Dear gammelfleisch,

Looking for a reliable partner?

I‘m Freda right now fighting in an excellent group.

We make customized handbook, carton, catalogue as great as possible.

Please let me know your question or concern about our services.

Cheers,

Freda

Ja, ihr seid ganz Große und voll zuverlässige Partner und macht alles so großartig wie irgend möglich! Das sieht man ja schon an eurer Spamwerbung…

Hi!

Freitag, 16. Juni 2017

Oh, eine Qualitätsspam. 😀

Hi,
Sie erhalten diese Nachricht, weil Richard, einer Ihrer Freunde auf YouTube, möchte, dass Sie sich dieses Video anschauen.

Erstens habe ich keine „Freunde auf YouTube“, und zweitens würde mich jeder Mensch, den ich mit dem Wort „Freund“ bezeichnete, ganz direkt anmailen. „Freunde“, die mir damit kommen, dass sie meine Mailadresse an irgendwelche Werbelügner oder betrügerische Halunken geben, um mir etwas ganz was tolles mitzuteilen, sind ehemalige Freunde.

Lassen Sie es mich kurz zusammenfassen, bevor Sie es sehen:

Aha, ich brauche mir das Video gar nicht anzuschauen. Das ist nett.

Es handelt von einem Typen namens Gilda Horne.

Und ich dachte schon, jetzt kommt Guildo Horn.

Dieser Typ hat einen Vlog, wo er sein Geheimnis der Arbeit von zuhause aus und des Verdienens von Tausenden pro Tag teilt.

Oh, ein ganz geheimes Geheimgeheimnis, das ins offene Internet gestellt wurde. Aber sowas von geheim! 😀

Er ist verrückt genug, nicht nur über sein Leben als Millionär zu vloggen, sondern zeigt auch anderen, wie sie ebenfalls Geld verdienen können!

Ja, so etwas habe ich schon öfter gesehen. Es waren immer Betrüger und Affiliate-Lumpenkaufleute, die ihre Spielcasinos und Binäre-Optionen-Nummern anpriesen. Seibst haben die aber lieber vom Affiliate-Geld gelebt.

Das ist sein letzter Vlog. Es ist schockierend!

Wenn ich etwas schockierendes sehen will, dann schaue ich in meine automatisch aussortierten Spammails. Das ist schockierend. Nicht nur, weil es schockierend ist, dass es überhaupt noch Menschen zu geben scheint, die auf eine Spam reinfallen, statt sie einfach zu löschen. Es ist vor allem schockierend, wenn ich am Inhalt dieses ekelerregenden Glibbereimers sehen kann, dass es immer noch Menschen gibt, die auf jahre- und teilweise jahrzehntealte Betrugs- und Beschissmaschen reinzufallen scheinen, denn sonst würde ja kaum noch für derartige Nummern gespammt. Haben die alle kein Internet, dass sie mal eine Suchmaschine benutzen können? Und wenn sie kein Internet haben, wie empfangen sie dann ihre E-Mail?

Sie werden sehen, wie Sie in einer Woche 50.000 $ verdienen können.

Eine der ältesten Betrugsmaschen aus der Spam beginnt damit, dass man Menschen davon erzählt, dass irgendwo Geld in großen Mengen vom Himmel falle und dass jeder, ohne etwas können zu müssen, einfach sackweis die Banknoten einsammeln kann. Wer diese dürftige Erzählung glaubt und nicht einfach mal mit einem erwachsenen Menschen durchschnittlicher Lebenserfahrung spricht, um zur Vernunft zu kommen, wird auf einem der folgenden Wege um sein Geld gebracht:

  1. Es werden Vorleistungen eingefordert, bevor man an das herumliegende Geld (oft aus einer Erbschaft, einem herrenlosen Konto oder dergleichen) kommt. Die Vorleistungen werden anonym über Western Union und Konsorten bezahlt und sind weg. Das ist der alte Vorschussbetrug, den es schon vor dem Internetzeitalter gab, und der im Internet vor allem durch russische, ukrainische und nigerianische Banden betrieben wird (wenn ich nach meinem Spameingang gehe).
  2. Das Geld gewinnt man mit einem speziellen System oder einer speziellen Software in so genannten „Online-Casinos“. Das System oder die Software funktioniert nur in bestimmten „Casinos“. Der Spammer ist Affiliate dieser Casinos und kassiert für jeden vermittelten Kunden Geld; oft ein zweistelliger Dollarbetrag pro Kunde, so dass schon fünfzig Opfer am Tag zu einem sehr ordentlichen Einkommen führen. Das System oder die Software funktionieren nicht. Wer darauf reingefallen ist, verliert schließlich alle Einsätze. (Darüber hinaus sind in der Software halbseidener „Casinos“ zuweilen auch Trojaner enthalten, wobei natürlich unklar ist, ob diese von „billigen“ Auftragsprogrammierern als kleines Zubrot verbaut wurden, oder ob sie beabsichtigt sind.)
  3. Das Geld gewinnt man mit einem speziellen System oder einer speziellen Software durch Handel mit Binären Optionen. Der Spammer ist Affiliate eines Brokers und kassiert für jeden vermittelten Kunden Geld, oft ein zweistelliger Dollarbetrag. Auch der Rest entspricht vollständig der Beschreibung beim Casino. Ja, es ist genau das gleiche. Und es ist genau so „seriös“.

Meiner Meinung nach sollte das jeder Mensch wissen, der eine E-Mail-Adresse hat. Dieses Wissen schützt Menschen davor, von Trickbetrügern abgezogen zu werden und es verhilft Menschen dazu, ihr Geld auf erfreulichere Weise ausgeben zu können. Schade, dass es den Menschen nicht deutlich genug gesagt wird¹… 🙁

Bitte schauen Sie es sich an, versuchen Sie es und teilen Sie Richard mit, wie es war …

Der Link führt übrigens in ein gecracktes WordPress-Blog. Diese Leute betrügen nicht nur andere Menschen, sie cracken auch Websites, um „unverbrauchte“ Adressen verlinken zu können, die es leichter durch den Spamfilter schaffen. Dass sie dabei die Websites anderer Menschen und Unternehmungen auf diverse Blacklists bringen und praktisch aus dem Internet entfernen, ist ein Kollateralschaden, der diesen Halunken gleichgültig ist, so lange nur ihre eigene Kasse stimmt.

Aber trotzdem mal schauen, wohin die Reise geht:

$ lynx -mime_header http://www.cozyaccommodations.com/wp-content/themes/kuma/78400070f51.html
HTTP/1.1 200 OK
Date: Fri, 16 Jun 2017 11:21:07 GMT
Server: Apache/2.2.32 (Unix) mod_ssl/2.2.32 OpenSSL/1.0.1e-fips mod_bwlimited/1.4
Last-Modified: Sun, 07 Aug 2016 04:08:02 GMT
ETag: "5a3050-ae-53973721bcc80"
Accept-Ranges: bytes
Content-Length: 174
Connection: close
Content-Type: text/html

<head>
<meta name="description" content="ok file uploaded">
<meta http-equiv="refresh" content="1;URL=http://track.tracking247.ru/aff_c?offer_id=409&aff_id=6884"/>
</head>
$ _

Aha, es wird in die Domain tracking247 (punkt) ru weitergeleitet. Aber dort ist die Reise sicherlich nicht vorbei:

$ lynx -mime_header "http://track.tracking247.ru/aff_c?offer_id=409&aff_id=6884"

Looking up track.tracking247.ru
Unable to locate remote host track.tracking247.ru.
Alert!: Unable to connect to remote host.

lynx: Can't access startfile http://track.tracking247.ru/aff_c?offer_id=409&aff_id=6884
$ _

Oh, die Reise durch ein Labyrinth von Weiterleitungen ist doch schon vorbei. Ein Hosting-Provider hat wohl schon einfach den Stecker gezogen, um nicht noch an diesem spambetriebenen, asozialen Beschiss mitschuldig zu werden. Dafür von mir vielen Dank, denn es hat mir eine Mail erspart… 😉

Aber jetzt erfahre ich gar nicht mehr, wie ich fünfzigtausend Dollar pro Woche verdienen kann!!1! :mrgreen:

Mit freundlichen Grüßen

Du mich auch, Spammer!

¹Journalist! Du bist gemeint!

Deine schnelle Antwort..

Donnerstag, 15. Juni 2017

Oh, gleich mit zwei Punkten im Betreff. 😀

Von: Mr. Daniel Gladwin <Dan.Gladwin@vip.xunlei.com>
Antwort an: danielgladwin1@email.com

So weit das Übliche. Der Absender ist natürlich gefälscht. Es ist eine Spam.

Aber eine im Reply-To-Header angegebene Antwortadresse ist diesem Vollhonk nicht genug, und deshalb…

Von Herrn Daniel Gladwin
E-Mail: danielgladwin1@gmx.com

…schreibt er gleich noch eine zweite in den Text der Mail rein.

Der Rest ist der übliche Bullshit des Vorschussbetruges – diesmal in der Geschmacksrichtung „herrenloses Konto eines verstorbenen Kunden mit ordentlich Zaster drauf“.

Mein Name ist Herr Daniel Gladwin, NatWest Direktor von Commercial Banking, Chelmsford & Romford. GroЯbritannien. Als Top-Exekutive bei NATWEST, entdeckte ich ein nummeriertes Konto [sic!] mit einem Guthaben von 18.300.000 .00 Britische Pfund plus angesammeltes Interesse [sic!], das zu einem amerikanischen Multi-Millionдr gehцrt Rohцl Merchant Herr David Watkins, der ein Opfer des Hurrikans Katrina war August 2005. Bisher weiЯ niemand ьber sein Bankkonto bei der NatWest Bank und meine weitere Untersuchung hat gezeigt, dass die verstorbene unmittelbare Familie auch in der Tragцdie gestorben ist. [sic!]

Zu schade, dass diese großen Bankster, die solche Spams schreiben, zwar Millionen von irgendwelchen wertvollen Währungseinheiten herumliegen haben, aber nie die paar Rubel zwanzig für einen richtigen Dolmetscher entbehren können. Ein „nummeriertes Konto“ mit Guthaben und angesammelten „Interesse“.

Über die falsche Codepage, die Umlaute zu hübschen kyrillischen Kringeln macht, sage ich schon gar nichts mehr. Unicode ist deutlich über fünfundzwanzig Jahre alt, und inzwischen mit jeder Software auf jedem Betriebssystem einsetzbar. Der vollständige Zeichenvorrat beinahe jeder lebendigen Sprache wird inzwischen in Unicode unterstützt, und jener mancher toten Sprache auch. Nur Spammer bekommen regelmäßig „Umlautschmerzen“.

Mit meiner Position bei der Bank habe ich alle Zugang [sic!], geheime Details [sic!] und notwendige Kontakte fьr die Forderung der Gelder ohne Probleme. Aber wegen der sensiblen Natur [sic!] meines Jobs brauche ich einen Auslдnder [sic!], um HELP [sic!] die Gelder zu beanspruchen, meine Position als Beamter [sic!] und als Stab der Bank [sic!] erlaubt mir oder meinen Verwandten nicht, diese Mittel zu beanspruchen. Deshalb kontaktiere ich Sie als Auslдnder, um die Ьbertragung dieses Fonds aus diesem Konto vor unserer nдchsten Prьfung zu arrangieren, denn wenn unsere Bankleitung entdeckt, dass dieses Konto fьr diese langen,
Es wird eingefroren [sic!] und das Geld wird an die Bank Treasury zurьckgegeben, als nicht beanspruchte цffentliche Mittel [sic!].

Klar, und weil das so eine kitzlige Sache ist, holt dieser gnadenlose Ballabanker und Beamte mit dem sensiblen Job sich einen Ausländer, indem er einfach eine E-Mail an jemanden schreibt, den er nicht einmal mit Namen ansprechen kann. Es geht ja nur um achtzehn britische Megapfund. Wir alle kennen es aus dem Alltag, dass uns irgendwelche Unbekannten in der Innenstadt einen schönen, gelben Zweihundert-Euro-Schein in die Hand drücken und uns bitten, kurz darauf aufzupassen, während sie mal weggehen und uns mit dem Schwindelzettel der EZB allein lassen, und genau das soll hier mit etwas mehr Geld praktiziert werden:

Deshalb will ich, dass du als auslдndischer Begьnstigter stehst ", und ich versichere Ihnen eine perfekte Transferstrategie, die in Ihrem Namen gesetzlich gestellt wird [sic!], damit niemand Ihre Ansprьche vermuten wird [sic!].

Angesichts der unbeschreiblichen Formulierungskünste dieses beamteten Kontonummerierers bei der Hintertupfinger Gartenbank kann man sich allerdings gar nicht so sicher sein, was er meint. :mrgreen:

Deshalb schnell noch der wichtige Hinweis für den gläubigen Empfänger:

Fьr Ihr Engagement in diesem Geschдft haben Sie Anspruch auf 40% des Gesamtbetrages auf Ihr Bankkonto ьbertragen und ich werde auf Ihr Geheimnisgefьhl [sic!] zдhlen, um eine riskante Exposition [sic!] dieses Deals zu vermeiden.

Dafür, dass ich die Fresse halte und einen kleinen Betrug mitmache (in Wirklichkeit würde ich selbst betrogen und „dürfte“ etliche Vorleistungen über Western Union und Konsorten nach irgendwo in die Welt übertragen), bekomme ich beinahe siebeneinhalb fucking Millionen britische Pfund aufs Konto. Oder, um es mit den Worten dieses freundlichen Spammers zu sagen: Ich habe einen Anspruch darauf.

Aber bevor ich auch nur davon träumen kann, diesen Berg von Geld zu nehmen und den Rest meines Lebens von den Zinsen – oder, wie der Spambanker zu sagen pflegt: „Interessen“ – dieses Zasters zu leben, muss ich dem Spambanker erst einmal sagen…

Bei Rьcksicht auf das Angebot [sic!], bitte geben Sie mir Ihre

Vollstдndiger Name :

Kontakt Adresse :

Direkttelefon:

…wer ich überhaupt bin.

So, jetzt noch ein paar fröhliche Erzählungen zur Vorgehensweise aus 1001 durchgespammten Nacht im unbeschreiblichen Deutsch eines ganz großen Bankers:

Um es mir zu ermцglichen, den Fonds zu Ihrem Namen als Erbenempfдnger [sic!] neu zu profilieren [sic!] und Ihre Kommunikation mit der Bank zur Weitergabe und Ьberweisung des Fonds auf Ihr Bankkonto zu fьhren.

Ja, das war ein Absatz. :mrgreen:

Angesichts der sensitiven Natur [sic!] und GrцЯe [sic!] dieses Projektes, frage ich Ihre Antwort auf meine private E-Mail:
danielgladwin1@gmx.com

Tja, warum schreibst du die nicht einfach in den Reply-To-Header rein, Spammer? Dann könnte man einfach auf „Antworten“ klicken. Stattdessen steht da eine andere Mailadresse drin. Aber ich habe ja ein bisschen Verständnis dafür. Du bist ja schon ganz großer Spammer, da kannst du dich nicht auch noch mit E-Mail oder gar so hirnendem Kram wie der Anpassung und Nutzung eines Spamskriptes auskennen.

Ich danke Ihnen in Erwartung fьr Ihre sofortige Antwort.

Aber gern doch, ich antworte immer hier auf Unser täglich Spam.

Freundliche GrьЯe,
Herr Daniel Gladwin,
NatWest Bank Plc.
Direktor Commercial Banking,
Chelmsford & Romford
E-Mail: danielgladwin1@gmx.com

Übrigens finde ich es bemerkenswert, dass jemand einen chinesischen Server mietet (der Hosting-Provider ist bereits unterrichtet, aber ich mache mir nur wenig Hoffnungen), um Spams mit kyrillischen Kringeln als Umlaute zu versenden, die angeblich von einer britischen Bank kommen – und als Antwortadresse eine anonym und kostenlos eingerichtete Adresse eines deutschen Freemailers angibt. Diese Spambank ist wahrlich international! :mrgreen:

Invoice PIS4710314

Mittwoch, 14. Juni 2017

Oh, ich habe eine Rechnung bekommen? Von wen? Und vor allem: Wofür? Mal schauen, was in der E-Mail drinsteht:

Please find Invoice PIS4710314 attached.

Aha! Es ist eine dieser E-Mails, in deren Text gar nichts steht und deren Anhang alle Fragen beantworten soll – oder anders und so deutlich wie möglich gesagt: Es ist eine Schadsoftware im Anhang.

Der Anhang ist ein ZIP…

$ unzip -l InvoicePIS4710314.zip 
Archive:  InvoicePIS4710314.zip
  Length      Date    Time    Name
---------  ---------- -----   ----
     6670  2017-06-13 11:37   C8DTJJCH.zip
---------                     -------
     6670                     1 file
$ _

…das ein ZIP enthält…

$ unzip InvoicePIS4710314.zip 
Archive:  InvoicePIS4710314.zip
  inflating: C8DTJJCH.zip 
$ unzip -l C8DTJJCH.zip
Archive:  C8DTJJCH.zip
  Length      Date    Time    Name
---------  ---------- -----   ----
    19739  2017-06-13 11:37   C8DTJJCH.wsf
---------                     -------
    19739                     1 file
$ _

…das nicht etwa eine Rechnung in irgendeinem Dokumentformat, sondern ein Windows Script File enthält; ein ausführbares Programm für Microsoft Windows. Dieses Programm wurde in einer E-Mail mit irreführendem Text zugestellt; von ihm wurde behauptet, dass es sich um ein Dokument mit einer Rechnung handele und es ist ausgesprochen kryptisch formuliert, um eine Analyse zu erschweren. Es ist eine ganz klare Schadsoftware. Wer dieses Programm auf einem unter Microsoft Windows laufenden Computer mit einem Doppelklick ausführt, hat in weniger als einer Sekunde einen Computer anderer Leute auf dem Schreibtisch stehen. Ob diese „anderen Leute“ die Festplatte verschlüsseln, den Rechner sperren und Bitcoin für die Entsperrung und Entschlüsselung einfordern, oder ob sie einfach „nur“ heimlich ein paar Trojaner nachinstallieren, die Online-Banking manipulieren, Betrugsgeschäfte durchführen, illegale Pornografie verteilen und Spam versenden, in jedem Fall wird ein Schaden entstehen.

Zurzeit wird diese Version der Schadsoftware nur von rd. der Hälfte der gängigen Antivirus-Programme als Schadsoftware erkannt. Wer sich auf die bequeme „Sicherheit“ durch Antivirus-Programme verlässt, wird von diesem Schlangenöl regelmäßig verlassen und sitzt dann vor einem von Halunken übernommenen und missbrauchten Computer.

Zum Glück ist es aber auch für Menschen ohne technische Kenntnisse möglich, sich vor der Schadsoftware zu schützen, die über E-Mail verteilt wird: Einfach niemals in eine E-Mail klicken, die nicht vorher über einen anderen Kanal als E-Mail ausdrücklich verabredet wurde, und schon ist eine Übernahme des Computers sehr erschwert¹. Es ist das Internet. Da muss man vor dem Klicken kurz das Gehirn einschalten. Antivirus-Programme sind nur eine Ergänzung.

Übrigens: In letzter Zeit sehe ich derartige Schadsoftware-Spam wieder häufiger, nachdem mal für ein paar Monate relative Ruhe war.

¹Die durchgehende Verwendung von digitalen Signaturen, mit denen man den Absender und die unveränderte Mail jenseits jedes vernünftigen Zweifels sicherstellen kann, ist in vielen Fällen eine wertvolle Ergänzung dieses Vorgehens und ebenfalls nicht so aufwändig, dass Laien davon überfordert wären.

London Kurier Bedienung

Dienstag, 13. Juni 2017

Diese Mail kam über eine Honigtopf-Adresse an. Sie geht an jede Mailadresse, die Spammer irgendwo einsammeln können.

Sehr geehrter Kunde,

Bin ich nicht.

Wir waren überrascht, einen Scheck von 950.000 Pfund zu erhalten, und ein Google-Dokument von Herrn Larry.

Das klingt ja wie bei der CDU, die jemanden zum Bundesfinanzminister macht, der hunderttausend Deutsche Mark in klandestin übergebenen Banknoten schön irreführend verbucht, damit die Korruption auch nicht wie Korruption aussehe. Überraschend liegt der Zaster auf dem Tisch.

Aufgrund der Priorität Ihres Pakets haben wir Ihr Paket freigeschaltet.

Das ist aber nett von euch. Und, warum nennt ihr mich dann „Sehr geehrter Kunde“? Auf Paketen klebt normalerweise so ein Aufkleber, auf dem der Name und die Anschrift des Empfängers steht, damit man das Paket auch zustellen kann. Aber nein, so ist das natürlich nicht bei Vorschussbetrügern, die über eine IP-Adresse aus der Russischen Föderation millionenfach ihre Spam zur Einleitung eines Vorschussbetruges auf die wehrlosen Postfächer dieser Welt loslassen. Dort weiß man genau, dass die potenziellen Opfer eine sofortige Denkhemmung kriegen, wenn sie etwas von beinahe einer Million britischer Pfund lesen, und schwätzt deshalb munter weiter, ohne die riesen Löcher in der dummen Geschichte zu flicken:

Herr Larry ist der Direktor von Google, der in Großbritannien lebt
Das Dokument zeigt an, dass Ihre E-Mail einer der zwölf glücklichen Gewinner von 950.000 Pfund ist.

Aha, Herr Larry hat also ein Dokument geschrieben, das ein Paket mit rd. einem britischen Megapfund zu meiner E-Mail befördern soll. Da stellt sich nur noch eine Frage: Warum hat Herr Larry das alles gemacht. Diese Frage beantwortet der Spammer allerdings viel lieber als die Frage, warum auf dem Adressaufkleber des Paketes keine Anschrift, sondern eine Mailadresse steht – und mit beachtlichem Hirnkitzel:

Dies war als Ergebnis von On gehen Google Raffle ziehen Spiel geht in Großbritannien.
.

Nominiert für den Kurt Schwitters Gedenkpreis!

Wir haben Dokumente und Tracking-Nummer aus unserem Kurier-Service, so dass Sie Ihr Paket verfolgen können.

Oh, das ist ja schön! Nur wer ich bin, wisst ihr nicht.

Beachten Sie, dass Sie nur auf diese Nachricht antworten können, wenn Sie der rechtmäßige Eigentümer der E-Mail-Adresse sind.

Das finde ich aber auch nett, dass ein Cracker, der mein Mailpostfach übernommen hat, diese Mail nicht beantworten kann. Die ist ganz gewiss mit einer im Rest des Universums völlig unbekannten E-Mail-Zaubertinte geschrieben, damit das funktioniert. (Denn die Verwendung digitaler Signaturen schlösse ja diejenigen Leute aus, die mit diesem Betrug abgezogen werden sollen.)

Bitte füllen Sie die unten aufgeführten Informationen aus.

Vollständiger Name:
Land:
Bundesstaat:
Adresse:
Ihre Kontaktnummer:

So so, „Kontaktnummer“. 😀

Abu Courier Service

United Kingdom

Der Laden, der mal eben fast eine Million Pfund für die Zustellung anvertraut kriegt, aber kein Geld für einen Dolmetscher übrig hat.

This email has been checked for viruses by Avast antivirus software.
www.avast.com

Diese E-Mail ist ganz sicher eine Spam und kann auch ungelesen in den Müll getan werden.

Contact Person: Mr. André David

Dienstag, 13. Juni 2017

Man kann in eine E-Mail natürlich hineinschreiben, um was es geht. Das hat den Vorteil, dass der Empfänger auch weiß, um was es geht. Man kann es allerdings auch lassen, und dann entsteht ein Text wie der Folgende:

we have made an effort to contact you many time but you are not responding? contact office with below

FULL NAME…
COUNTRY/HOME ADDRESS…
CITY/POSTAL CODE…
OCCUPATION…
MOBILE PHONE NUMBER…
AGE/SEX.

DHL INTERNATIONAL OFFICE BENIN EXPRESS.
DHL Delivery Services Company
Contact Person: Mr. André David

Ohne weitere Worte.

Dieses Ausstellungsstück aus dem Beklopptenbrutschrank des Postfaches ist ein Zustecksel meines Lesers liu yang.

Rechnung 77405577 – bitte gegenlesen

Montag, 12. Juni 2017

ACHTUNG: Auf gar keinen Fall und unter keinen Umständen den Anhang dieser Mail (oder ähnlicher Mails) aufmachen. Es ist das reinste Gift! Hier gibt es keine Rechnung. Die E-Mail einfach löschen (oder Strafanzeige erstatten)!

Sehr geehrte Kundin, Sehr geehrter Kunde,

Bin ich nicht.

Wo ich Kunde bin, werde ich mit Namen angesprochen.

vielen Dank für Ihren Auftrag, anbei erhalten Sie Ihre Rechnung als Anhang.

Welcher Auftrag? Von wann? An wen? Mit welchem Inhalt? An welchem Tag ausgeführt? Was ist die Auftragsnummer? Alle Fragen, die diese Mail möglicherweise beantworten könnte, wenn sie echt wäre, beantwortet sie nicht. Stattdessen soll ein Mailanhang aufgemacht werden. Es gibt keinen sachlichen Grund, so vorzugehen.

Näheres zum Anhang später.

Bitte beachten Sie unsere neue Bankverbindung und überweisen Sie den Rechnungsbetrag in Höhe von 164,44 EUR

Damit der Anhang auch aufgemacht werde, wird Geld gefordert. Die Bankverbindung wird nicht angegeben. Genau das würde aber jeder tun, der das Geld auch wirklich haben will.

Für weitere Fragen zu Ihrer Rechnung erreichen Sie uns per:

+49 30 40 xx xxx

Die E-Mail zu beantworten ist sinnlos. Der Absender ist gefälscht. (Die Telefonnummer habe ich unkenntlich gemacht, damit nicht die arme Seele zusätzlich gequält wird, die diese Telefonnummer hat.)

Mit freundlichen Grüßen

Ihr Team

Was für ein Team? Handelt es sich um Gebäudereiniger oder um Fußballspieler?

Wer mich hochnäsig schimpfen will, der schimpfe mich hochnäsig, aber ich meine, dass jeder Mensch mit einem kleinen bisschen Erfahrung diese E-Mail sofort als Spam erkennen und löschen muss.

Wer dann aber auch noch den Anhang aufmacht, handelt grob fahrlässig und sollte meiner Meinung nach dafür haftbar gemacht werden.

Der Anhang

Dieser Anhang ist…

$ file 976255919.xls | sed "s/,/\n/g"
976255919.xls: Composite Document File V2 Document
 Little Endian
 Os: Windows
 Version 6.0
 Code page: 1251
 Name of Creating Application: Microsoft Excel
 Create Time/Date: Wed Nov 30 07:48:22 2011
 Last Saved Time/Date: Mon Jun 12 11:19:32 2017
 Security: 0
$ _

…eine 2021 Tage alte Excel-Mappe, die neulich mal wieder kurz aufgemacht wurde. (Nein, wenn man eine Rechnung aus einer Rechnungsvorlage erstellt, steht da nicht die Erzeugungszeit der Vorlage, sondern des Dokumentes drin.) Die Zustellung einer „Rechnung“ in einem Dokumentformat, das jeder Empfänger einfach mit einem Standardprogramm öffnen, bearbeiten und wieder abspeichern kann, ist übrigens eine bemerkenswert sinnlose Idee.

Diese angebliche „Rechnung“ enthält Makros, die beim Öffnen automatisch gestartet werden. Ein sicher konfiguriertes Office-Programm sollte diese Makros gar nicht erst ausführen, sondern eine deutlich formulierte Warnung anzeigen:

Dieses Dokument enthält Makros. -- Makros können Viren enthalten. Die Ausführung dieser Makros wird aufgrund der aktuellen Makroeinstellungen im Menü unter Extras - Optionen - LibreOffice - Sicherheit unterbunden. -- Manche Funktionen stehen daher möglicherweise nicht zur Verfügung. [OK]

Für alle, die es jetzt immer noch nicht verstanden haben, möchte ich gern den wichtigsten Satz aus dem soeben gezeigten LibreOffice-Dialog (Microsoft Office zeigt übrigens recht ähnlich formulierte Dialoge an) noch einmal angemessen hervorgehoben wiederholen:

Makros können Viren enthalten.

Das der Empfänger so vor einem verbrecherischen Angriff gewarnt wird, wissen die Verbrecher natürlich auch, denn sie leben ja davon, dass ihre verbrecherischen Angriffe funktionieren. Deshalb sieht die Rechnung folgendermaßen aus:

Screenshot der angeblichen Rechnung

Das ist nun eine tolle „Rechnung“, denn in ihr steht im „schönsten“ Layout der frühen Neunziger Jahre nichts. Die einzige Zahl, die ich ausmachen kann, ist der Mehrwertsteuersatz von 9,5% – das waren noch Zeiten! 😀

Der Zweck dieses Mummenschanzes ist es aber, den Anwender dazu zu bringen, dass er die Ausführung von Makros zulässt, damit die Verbrecher den Computer übernehmen können (zum Beispiel, um einen Verschlüsselungstrojaner darauf zu installieren). Denn in der Tabellenkalkulation ist ganz oben eine Zeile hinterlegt, die nicht gedruckt wird:

Sie auf der gelben Statusleiste auf Inhalt aktivieren klicken, um den Inhalt zu aktivieren

Wer in der Hoffnung, dass die Rechnung dadurch lesbarer würde, dieser patzig formulierten Aufforderung folgt, startet ein Programm, dass ihm Verbrecher mit einer E-Mail zugestellt haben. Der Computer auf dem Schreibtisch ist in weniger als einer Sekunde ein Computer anderer Leute, und diese Leute wären wesentlich besser mit Handschellen und einer Gefängniszelle als mit einem weiteren Computer bedient. Wenn eine für einen Wurm ausnutzbare Sicherheitslücke hinzukommt, kann mit diesem einen Klick ein ganzes Unternehmensnetzwerk an Kriminelle übergeben werden – so, wie dies neulich auch medial breit rezipiert im Fall von „WannaCry“ geschehen ist.

Und deshalb…

  1. …klickt man nicht in E-Mails, die nicht zuvor über einen anderen Kanal als E-Mail ausdrücklich vereinbart wurden;
  2. …öffnet man erst recht keine Anhänge von unvereinbarten, anonym und völlig nichtssagend formulierten E-Mails;
  3. …ist man sich immer der Tatsache bewusst, dass E-Mail ein zwar praktisches, aber auch gefährliches Medium ist, das Verbrechern ermöglicht, Dateien und Programme unter gefälschtem Absender auf die Computer anderer Menschen zu befördern;
  4. …öffnet man eine unabgesprochen zugestellte E-Mail auch dann nicht, wenn sie auf dem ersten Blick völlig legitim erscheint, sondern fragt im Zweifelsfall einmal telefonisch nach; und
  5. …richtet sein Office-Programm so ein, dass es niemals automatisch Makros ausführt und schaltet die Makroausführung auch dann nicht frei, wenn jemand anders darum bittet. Es ist niemals nötig, für den Dokumentenaustausch Programme auf den Rechnern der Empfänger auszuführen. Wer dies dennoch einfordert, ist mit Sicherheit jemand, der nichts Gutes im Schilde führt.

Meiner bescheidenen Meinung nach sollte das jeder Mensch wissen, der in seine Bewerbungen und in seinen Lebenslauf reinschreibt, dass er Computerkenntnisse auf Anwenderniveau hat – wenn ich Chef wäre und es käme in meinem Betrieb zu einer kriminellen Übernahme von Rechnern, weil einer meiner bezahlten Mitarbeiter mit zugesicherten „Computerkenntnissen“ willentlich und mit eigenhändigem Klick Software aus einer anonym formulierten E-Mail ausgeführt hat, würde ich diesen Mitarbeiter vollumfänglich für den von ihn angerichteten Schaden haftbar machen und ihm wegen seines Vertrauensmissbrauches fristlos kündigen. Denn entweder hat er es vorsätzlich getan, oder aber die Angaben in Lebenslauf und Bewerbung waren eine vorsätzliche Lüge. (Und ja, zur Absicherung dieses Standpunktes würde ich meine Mitarbeiter unterschreiben lassen, dass sie dies zur Kenntnis genommen haben.)

Früher, als ich noch naiv war, habe ich ja auch mal geglaubt, dass Menschen aus Eigeninteresse halbwegs vernünftig und informiert handeln, aber dann habe ich nach und nach die ganzen Dummen und Bequemen kennengelernt, die nur unter Schmerzen widerwillig ihr Gehirn benutzen… 🙁

Nachricht von Emma erhalten: Morgen Abend schön fic… ?

Montag, 12. Juni 2017

Ich kenne keine Emma. Und ich habe kein Interesse am Fichtenpflanzen. :mrgreen:

Hallo Eli,

Nein, der Name stimmt nicht so ganz. Man hat eben manchmal nicht so viel Glück, wenn man einfach den Nick aus einem gecrackten Webforum als Anrede verwendet.

Du hast eine Nachricht von Emma erhalten – Betreff: „Morgen Abend schön fic…“.

Und, warum schreibt mir diese bummsfidele Emma keine verdammte E-Mail, sondern gibt meine Mailadresse irgendeinem Spam-Dienstleister? Ach ja, damit…

Um sie zu beantworten oder das Profil von Emma anzusehen, klicke hier:

http://www.wahrzeichen2.cricket/[ID entfernt]/

…ich beim „Click here“ klicke, um zu lesen, was wohl mit dem abgebrochenen Wort „fic“ gemeint sein könnte. Denn in eine Spam klicken ist das neue „Beantworten“ von E-Mail¹.

Natürlich ist der Link nicht direkt gesetzt. Es ist eine asoziale und kriminelle Spam. Diese Domain mit dem Wahrzeichen und dem Cricket ist eine Wegwerfdomain, die nicht mehr benutzt wird, wenn sie erst einmal auf allen Blacklists dieser Welt steht.

$ mime-header http://www.wahrzeichen2.cricket/
http://www.wahrzeichen2.cricket/
  HTTP/1.1 301 Moved Permanently
  Date: Mon, 12 Jun 2017 11:39:35 GMT
  Server: Apache/2.2.15 (CentOS)
  X-Powered-By: PHP/5.3.3
  Location: http://www.datingfun24.info
  Connection: close
  Content-Length: 3
  Content-Type: text/html; charset=UTF-8
$ _

Es geht also zu datingfun24 (punkt) info, was einem Spamgenießer vertraut klingt. Aber eines ist diesmal anders als sonst: Man sieht nicht wie gewohnt die tolle Anpreisung eines Tricks, wie man jeden Tag eine andere knallen kann (wer darauf reinfällt, ist hinterher bei einem halbseidenen Anbieter kostenpflichtiger Chats registriert und der Spammer kassiert Affiliate-Geld dafür), sondern man sieht das andere, ebenfalls unveränderte Design Ficki-Berater:

Screenshot der betrügerischen Dating-Site

Ich würde ja gern mal einen neuen Screenshot machen, aber dieses auf häufig wechselnden Domains präsentierte Design ist seit dem 13. Februar letzten Jahres unverändert – einschließlich des fehlenden dritten Bildes in der dritten Reihe. Warum sollten sich die Verbrecher auch Mühe geben? Da könnten sie ja gleich arbeiten gehen…

Liebe Grüße,
Deine Inkognito-Nachrichten-Zentale

Ach, so nennt man über Botnetze versendete Spam mit gefälschtem Absender heute! :mrgreen:

Impressum:
Jens Bxxxxxxh
Kxxxxxxx Strasse 60
63xxx Nxxxxxburg
E-Mail: info@wahrzeichen2.cricket
http://www.wahrzeichen2.cricket/abm/6ZHmRwRClE8B/

Name und Anschrift sind von mir unkenntlich gemacht.

Als abschließender Hinweis an alle, die darüber nachdenken, auf einer spambeworbenen Website persönliche Daten einzugeben: Diese Daten werden von den Spammern in Spams verwendet. Deshalb gibt man Spammern keine Daten!

¹Niemals in eine E-Mail zu klicken, wenn diese nicht vorher über einen anderen Kanal als E-Mail vereinbart wurde oder wenn deren vertrauenswürdiger Absender nicht anhand einer digitale Signatur überprüfbar ist, das ist die zurzeit wichtigste Vorsichtsmaßnahme, um nicht zum Opfer der Internetkriminalität zu werden.