Der (natürlich gefälschte) Absender der E-Mail ist mms (at) vodafone (punkt) de, und sogar einer der Links in der Mail führt zur Vodafone-Website. Diese Mail kommt nicht von Vodafone. In meinem Fall wurde sie von einer dynamischen IP-Adresse aus den Vereinigten Arabischen Emiraten versendet, also von einem mit Schadsoftware kriminell übernommenen Privatrechner.

You have received a picture message from mobile number +491629848169

Eine Ansprache gibt es nicht. Und obwohl „Vodafone“ meine Mailadresse kennen will, kennt es nicht meine Telefonnummer oder meinen Namen. Wozu auch? Um derartige Nachrichten zu bekommen, müsste ich ja nur Kunde sein…

To save this picture, please save attached file.

Darum geht es. Der Rest ist Blah:

You can reply once to this message via MMS for free!
To send a reply containing pictures, audio or video, click here to visit our on-line composer.
Alternatively, you can send a text-only reply (limited to 500 characters), simply by clicking your usual reply button. By replying to this message you agree to our terms and conditions. Please see our Website Terms and Conditions at http (doppelpunkt) (doppelslash) www (punkt) vodafone (punkt) de (slash) termsandconditions for full details.
Only one reply is possible until 11/11/2011.

Oh, da muss ich mich aber beeilen, um bis zum letzten Jahr mit meiner Antwort fertig zu werden.

© 2012 Vodafone D2 GmbH

Nein, diese Mail kommt nicht von Vodafone. Aber das habe ich ja schon gesagt.

Ziel der Spammer ist es, dass man den Anhang öffnet. Dieser ist bei mir ein ZIP-Archiv namens Vodafone_MMS.zip mit einer Dateigröße von 27,2 KiB. Darin ist eine Datei, deren Namen auf .jpg.exe endet, so dass es für Leute, die Microsoft Windows in den Standardeinstellungen betreiben, so aussieht, als handele es sich um ein JPG-Bild¹. Wer darauf geklickt hat, der hat verloren und „darf“ sich jetzt Gedanken darüber machen, wie er seinen Rechner wieder sauber bekommt.

Hier die obligatorischen Ergebnisse eines Scans durch virustotal.com.

¹Deshalb sollte man unbedingt die Einstellung „Dateinamenserweiterung anzeigen“ aktivieren. Das ist eine der ganz einfachen Maßnahmen zur Erhöhung der Sicherheit. Wenn jemand am Dateinamen sieht, dass ihm eine ausführbare Datei als Bild untergejubelt werden soll, wird er auch unter den Bedingungen anfallsartiger Neugierde nicht darauf klicken. Dieser Trick der Spammer ist wirklich alt, aber er funktioniert immer noch. Für Microsoft ist das freilich kein Grund geworden, standardmäßig den vollständigen Dateinamen anzuzeigen. An einem guten Teil der ganzen Spampest trägt Microsoft eine beachtliche Mitschuld, da diese Firma Bedingungen schafft, in denen Nutzer standardmäßig nicht den wirklichen Charakter einer Datei erkennen können.