Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.

Artikel 201/04/2014 der EU

Montag, 28. April 2014

Lange nicht gehabt: Eine frische Masche für eine Phishing-Spam.

Von: Visa Deutschland <assistenz (at) europa (punkt) de> [natürlich gefälscht]

Hui, von Visa, Europa und Deutschland auf einmal! Das muss ja offiziell und vor allem irre irre wichtig sein!

==============================================
Sehr geehrter kunde nach der neuen verordnung der EU,
ab dem tag 28.04.2014, um ihre kreditkarte online
benutzen zu können, sie sind verpflichtet,
diese unterlagen zu füllen.
==============================================

„Diese Unterlagen“, die zu „füllen“ ich am nahen „tag“ spätestens „verpflichtet“ bin, liegen in einem ZIP-Archiv, es handelt sich um eine HTML-Datei, die ein Formular enthält, das im Browser geöffnet so aussieht:

Screenshot des angehängten Phishing-Seite

Große Teile des externen Materials werden von der offenbar gepwnten niederländischen Website unter politiek (punkt) net nachgeladen… oh halt, das muss eine belgische Website sein, denn „Vlaanderen“ liegt nun einmal in Belgien… und dorthin werden übrigens auch die so gephishten Daten übertragen, und zwar ausgerechnet zu einem Skript mit dem hübschen Namen weiter (punkt) php, das immer eine Weiterleitung zur richtigen Visa-Website ist. Die völlig unklaren Angaben zur Verantwortung für diese offenbar nicht mehr aktiv gepflegte Website und das Fehlen eines Impressums erschweren es mir, zu einem Verantwortlichen Kontakt aufzunehmen, damit dieser Müll schnell vom Server verschwindet, so dass ich nicht so guter Dinge bin.

Aber selbst, wenn man sich nicht den HTML-Quelltext dieses Anhanges anschaut, kann man sich folgende vier Fragen stellen:

  1. Warum sollte man gegenüber Visa Daten angeben müssen, die Visa längst bekannt sein müssen?
  2. Wieso gibt es eine EU-Verordnung, die gut die Hälfte der erwachsenen Bevölkerung so stark betrifft, dass sie in bestimmten und keineswegs seltenen Situationen nicht mehr bezahlen können, ohne dass etwas davon in der Zeitung stand und ohne dass es eine Meldung in den Nachrichten war? Und das, obwohl jetzt kein einziger Tag mehr zum Informieren übrig ist?
  3. Wieso „Artikel der EU“? Die EU ist ein Staatenbündnis. Eine Verfassung mag Artikel haben, aber eine Verfassung der EU gibt es nicht. Selbst, wenn es sie gäbe, würde sie nicht die politische Ausgestaltung des bargeldlosen Zahlungsverkehrs beinhalten. Und selbst, wenn auf einen Verfassungstext Bezug genommen würde, drückte man sich etwas anders aus. Dass die Bürde des Menschen (oder so etwas ähnliches) unantastbar ist, das steht nicht in Artikel 1 der BRD, sondern in Artikel 1 GG (oder ausführlich: Grundgesetz für die Bundesrepublik Deutschland).
  4. Seit wann ist die gemäßigte Kleinschreibung in geschäftlicher Korrespondenz üblich? Seit wann werden Kunden, die namentlich bekannt sind – immerhin wird sogar ihr Geld verwaltet – mit „Sehr geehrter Kunde“ angesprochen? Und seit wann treibt der Hang nach Ökonomie und Einsparung an allen Ecken und Enden die Menschen dazu, „füllen“ statt „auszufüllen“ zu schreiben, obwohl in der Mail mehr Platz als in einem Tweet ist? Das miese Phishing zeigt sich oft deutlich im fehlerhaften Sprachgebrauch; wer von seinem Charakter her nicht so gestrickt ist, dass er jede Mühe scheut und jedes Streben nach Stil vermeidet, der wird sich auch so gut wie immer seine Brötchen auf weniger verachtenswerte Weise verdienen.

Die kurze Beschäftigung mit auch nur einer dieser Fragen führt dazu, dass man erkennt, um was es sich hier handelt – und wer dann immer noch reinfällt, der ist eh nicht mehr zu retten. Die Taste, die zu drücken ist, ist mit Entf beschriftet. 😉

Viagra gen für 1,00 EURO, erst nach Erhalt der Ware!

Sonntag, 27. April 2014

Verschreibungspflichtige Medikamente für fehlendes Rezept und billig billig billig!

Viagra gen fur 1,00 EURO, erst nach Erhalt der Ware!

Hey Spammer, das hast du schon im Betreff gesagt, und es wird auch nicht besser, wenn du es fett setzt und da einen Link in die Domain electio (punkt) net (punkt) ua draufmachst. Der Link führt übrigens nach einer Kaskade von „nur“ zwei Weiterleitungen auf die Website in der Domain www (punkt) pillsstore (punkt) org, die natürlich über einen Whois-Anonymisierer¹ aus dem schönen (und hoffentlich von den drohenden Kriegsgefahren verschonten) Kiew betrieben wird. Dort findet sich eine tolle „Apotheke“ ohne Impressum, in deren Angebot…

Screenshot der betrügerischen Website www (punkt) pillsstore (punkt) org

…man zwar im Moment keine Aspirin findet, aber dafür allerlei Pillen für den Pimmel.

Einmalige Aktion! Bei der Bestellung bis zum 01.05, bieten wir 20 Viagra gen. für den Preis von 20,00 Euro an. Die Lieferkosten (Lieferung aus Deutschland, per Einschreiben) sind innbegriffen und Sie können den Betrag erst nach Erhalt überweisen!

Die Aktion ist so einmalig wie diese Spam. Und der aus Deutschland liefernde „Apotheker“ ist so kriminell wie einer, der verschreibungspflichtige Medikamente ohne Rezept verkauft. Immerhin werden diese spottbillig angebotenen pillz noch die Form, Farbe und Prägung der Tabletten haben, aber die viel interessantere Frage, was zum entmannten Henker da drin ist, kann nur ein Labor beantworten. Dementsprechend ist übrigens auch die automatische Bewertung durch LegitScript.

Die Lieferzeiten betragen 2 Werktage innerhalb Deutschlands und 4 WT für die Schweiz und Österreich.

Und wenn das mal das einzige ist, was da geliefert wird! Und wenn das überhaupt geliefert wird!

Die Website dieses vorgeblichen Pimmelpillen-Apothekers, der in seinem Angebot so tut, als würde er mir am liebsten noch etwas dazu schenken, wenn ich ihm nur seine Giftpillen wegesse, erweckt einen ganz anderen Verdacht.

Der HTML-Code dieser Website ist nicht gerade gut lesbar. Der größte Teil der Seite ist in eine einzige, sehr lange Zeile geschrieben, so dass es beim Anblick des Quelltextes erschwert ist, einen Eindruck von eventuellen Crack-Versuchen zu bekommen. Die eingebetteten Dateien mit JavaScript-Anweisungen, Bildern und Stylesheets haben zusätzlich sehr kryptische Namen bekommen, hier nur ein paar Beispiele dafür:

  • c2003e28d1d7fd8e87a88d6f1fd12523.css
  • 005b4e090954cbe6edbcc7d8585fe54f.js
  • uoczyc6puggkb2uu-llp.jpg
  • tk_xfl1jhgl0lapnpzv0.jpg

Solche Dateinamen vergibt natürlich niemand, der sein Projekt vielleicht noch einmal pflegen will – und er schreibt natürlich auch seinen Quelltext so, dass seine Struktur klar wird. (Wie man das macht, hängt natürlich vom Coder und eventuell von Vorgaben ab, aber eine einzige lange Zeile ist das, was niemand machen würde – nicht einmal aus Performance-Gründen, weil der Webserver zu jedem modernen Webbrowser eine gzip-komprimierte Version der Daten übertragen kann, die wesentlich besser als solche „Tricks“ ist.)

Spam macht mich immer skeptisch, denn Spam ist immer kriminell. Wenn die Spam mit solchen „Tricks“ einher geht und gleichzeitig vorgibt, sehr unglaubwürdig günstige Angebote zu machen, bin ich mir sicher, dass etwas richtig faul ist. Leider fehlt es mir gerade an den paar Stunden Zeit, um so durchgehend zu analysieren, wie es für ein abschließendes Urteil nötig wäre, aber der folgende Screenshot der eingebetteten Javascript-Datei aus meinem Editor gibt hoffentlich auch einem Unkundigen einen Eindruck davon, dass hier vor neugierigen Augen wie meinen verborgen werden soll, was für ein Programmcode da – für eine alles in allem schlichte Seite – in den Browser gemacht werden soll:

Screenshot des Editors, der die Javascript-Datei dieser Seite anzeigt

Das geht so 133 KiB lang weiter, die sich auf insgesamt vier Zeilen aufteilen. Wie schon weiter oben gesagt: So programmiert niemand, der nichts zu verbergen hat. Wer sich mal an dieser – teils übel verschachtelten – Sammlung von Funktionen mit mehreren integrierten evals versuchen möchte: Ich habe die komplette Datei bei Pastebin hochgeladen. Aber Vorsicht, das ist JavaScript von Kriminellen, und es stinkt zum Himmel…

Oder vielleicht etwas klarer gesagt: Wer diese Seite mit seinem Browser betrachtet und das Ausführen von JavaScript gestattet hat – ich kann ein Addon wie NoScript nur wärmstens empfehlen, denn es bietet bei derartigen Angriffen mehr Schutz als jedes Antivirusprogramm – der hat jetzt vermutlich, wenn der Browser oder ein vom Browser benutztes Plugin irgendwie angreifbar war, einen Computer anderer Leute auf dem Schreibtisch stehen. Und diese anderen Leute sind nicht nett. Und der Virenscanner kennt die Masche möglicherweise noch nicht.

Deshalb klickt man ja auch nicht in eine Spam. (Außer, man weiß, wie man ein besonders gesichertes System dafür aufsetzt – und nein: eine „Personal Firewall“ und ein Antivirus-Programm sind keine besondere Sicherung, sondern die Standardkonfiguration, die von den Kriminellen selbstverständlich auch ausprobiert wird, denn sie leben davon, dass ihre Angriffe möglichst häufig funktionieren). Das bisschen befriedigte Neugierde ist keine hinreichende Entschädigung für den Ärger, den man hinterher damit haben kann.

Übrigens scheint auch das verwendete Stylesheet nicht ganz koscher zu sein. Auch hier habe ich gerade nicht die Zeit, mir das näher anzuschauen. Es enthält mehrere Grafiken als Data-URL (das ist eine durchaus legitime Technik, wenn sie auch nicht formell standardisiert ist). Eine dieser Grafiken ist ein Hintergrund mit einem GIF, das eine Höhe und Breite von 0 Pixeln hat, aber dafür erstaunlich viel Daten benötigt. Das erweckt den starken Eindruck, dass hier in bestimmten Browsern oder Bibliotheken ein Pufferüberlauf provoziert werden soll, um auf diese Weise Code auszuführen. Von daher könnte diese Seite sogar dann noch gefährlich sein, wenn man die Ausführung von JavaScript verbietet. 🙁

Und deshalb klickt man eben nicht in eine Spam… so einfach geht der Selbstschutz! Und sage niemand, dass man diese Müllmail nicht als Spam erkennen könne! 😉

Wir möchten Ihnen gute Ware unter einmaligen Bedingungen Liefern!

Scheinheiligsprechungen sind beim Vatikan zu beantragen! :mrgreen:

Mit freundlichen Grüßen.

+49692222xxxx
Web >>>

Mit Gruß von einer Telefonnummer.

Ach ja, diese Spam war übrigens auch HTML-formatiert und schaute, wenn man HTML-formatierte Mails anzeigen lässt, so aus:

Screenshot der HTML-formatierten E-Mail mit ihren eingebetteten Grafiken

Mit rübergeblasenem Judasküsschen vom kriminellen Cracker.

¹Weil ich in der letzten Zeit mehrfach gefragt wurde, ob das nicht immer ein schlechtes Zeichen ist: Nein, ist es nicht. Es kann für Privatpersonen vollkommen sinnvoll sein, ihre Anschrift, Telefonnummer und Mailadresse vor einer nicht immer wohlwollenden Öffentlichkeit über einen Whois-Anonymisierer zu verstecken – zum Beispiel zum Schutz vor Spam und fiesen, personalisierten Betrugsnummern. Aber bei gewerblichen Auftritten ist es in der Tat immer ein schlechtes Zeichen, weil hier kein Grund besteht. Die Anschrift der Unternehmung nebst diversen Kontaktmailadressen und Telefonnummern ist bereits an anderen Stellen und auf der Website frei zugänglich veröffentlicht. Eine gewerbliche Website, für deren Domain ein Whois-Anonymisierer verwendet wird, ist also immer als äußerst fragwürdig anzusehen.

Willkommen in Kenia (Geschäfts)

Freitag, 25. April 2014

Aber ich bin hier doch in Hannover (Deutschland). :mrgreen:

Guten Tag,

So heißt doch jeder!

mein nam [sic!] ist Kwambai Paul aus Kenia Nairobi Ich arbeite mit Kenia Commercial Bank jedes Quartal fьhren wir Kontrollen durch auf Clients bank accounts.

Ich bin Ausgedacht Nam aus Kenia dem Land in dem man keine Kommas kennt ungern Punkte setzt und kyrillische Buchstaben benutzt Und dort ich kontrolliere Bankkonten.

vor zwцlf Jahren mir ist schon klar [sic!], dass ein fremdes Bankkonto mit einem enormos [sic!] Summe von $75.000.000 USD.

Dabei ich gefunden Haufen Zaster auf Konto.

Der Betrag wurde nicht Schallwand mir [sic!] aber was zog meine Aufmerksamkeit auf sich zog, war der Kontoinhaber ist ein nicht Kenia und hatte keine nдchsten Angehцrigen.

Und der Zaster von Ausländer ohne Verwandte. Da ich schnell wie durchbrechen Schallmauer Idee gekriegt, einfach Zaster irgendwie zu klauen.

Der Name geht von Herrn Hindu O. Idi [sic!] und ich habe auch noch eine weitere Untersuchung, die er starb [sic!] in der US-amerikanischen Botschaft Bombenanschlag in Nairobi 1998, und wenn ich grub ich weiter [sic!], er war in Rohstoffe ein neugebautes [sic!] seit dem bin ich Kontrolle der Rechnung wartet auf seine Business Partner zu zeigen sich [sic!] aber uptill [sic!] Datum niemand gezeigt haben, wenn man bedenkt bank Vorschriften [sic!] nur ein Auslдnder kann sich als nдchsten Angehцrigen, so dass alles, was ich will, dass sie fьr mich ist [sic!], stand als nдchster Angehцriger, Herr Hindu O. Idi damit wir unsere Das Ge
ld aus Kenia in ihrem Lan [sic!]

Satz enden hier.

Und besser noch: Geldsack tot. Du jetzt spielen Verwandtschaft, und wir halbe halbe. Was ich dir nicht sagen: Ganze Story nur in meine Fantasie, Geld nie existiert, nur da, dich dumm und gierig zu machen. Du machen Kontakt mit mir, und ich lügen Blau vom Himmel weg, erzählen tausend tolle Geschichten und immer Probleme geben, die du lösen müssen durch Geld das mit Western Union du senden an anonymes Unbekanntes irgendwo auf großes rundes Welt. Ich dann mit meine Freunde gehen in Puff und kaufen Kokain und fette Auto, und du kriegen Erfahrung, dass Text in Spam immer Lüge. So wir beide gewinnen, ich gern, du nicht.

Reagieren zurьck zu mir auf diese e-mail.
kwambaipaul (at) aol (punkt) com

Du nicht antworten an Absender durch Klick auf „Antworten“, denn Absender gefälscht. Deshalb du müssen antworten auf anderes Adresse.

Mfg
Kwambai Paul

Mit abgekürztes Freundlichsein
Dein Vorschussbetrugsspammer

Re:Hello

Freitag, 25. April 2014

Qualitätsbetreffalarm!

My name is Ms. Claudia.

Schön für dich. Ich habe auch einen Namen. Den kennst du aber nicht, sonst hättest du mich ja irgendwie angeredet. Aber ich sage ihn dir. Ich bin Mister Elias.

I have a business proposal for you. Contact me for further information.

Und ich kann mir auf der ganzen, schönen, weiten, blauen Welt nichts seriöseres vorstellen, als irgendwelche völlig Unbekannten, die mich anmailen, obwohl sie mich nicht kennen, einfach nur, um mir Geschäftsvorschläge zu unterbreiten. Das müssen tolle Geschäfte sein, die man so macht!

Regards.

Ms. Hiu

Mal der eine Name, mal der andere Name. :mrgreen:

Zielbewusste Arbeitnehmer benötigt

Donnerstag, 24. April 2014

So so, „zielbewusst“. Wer sich wirklich darüber bewusst ist, wo die „Jobs“ hinführen, die man im Auftrag der Spam-Verbrecher macht – Briefe und Pakete unter eigener Anschrift empfangen, umpacken und an andere Anschriften senden sowie Geld auf eigenem Konto empfangen und per Western Union anonym ins Ausland transferieren – wird sich mit Sicherheit für ein Leben ohne Vorstrafe und Gefängnisaufenthalt entscheiden. Und nein: Bei solchen „Jobs“ wird kein Richter von Arglosigkeit ausgehen.

An: Abraham Garrison <gammelfleisch (at) tamagothi (punkt) de>

Fast. Mein Name besteht auch aus Buchstaben.

Sehr geehrter Stellenbewerber

Genau das ist der Name, den ich bei Bewerbungen immer angebe. 😀

Eine berühmte internationale Gesellschaft würde gerne eine Arbeitsstelle an Sie anbieten.

Einer berüchtigten internationalen „Gesellschaft“ ist gerade keine überzeugende Firmierung eingefallen, und deshalb nimmt sie lächerliche Formulierungen in ihren Spams.

Wir sind sicher, dass Sie einen großen Beitrag zum Erfolg unserer Gesellschaft leisten werden.

Wie jetzt, bewerbt ihr euch etwa bei mir?! :mrgreen:

Die jährliche Entlohnung in unserer Gesellschaft ist vierzigtausend Dollar und wird monatlich bezahlt.

Aha, ihr wollt also einem unbekannten Empfänger wie mir, von dem ihr nicht einmal einen Namen kennt, für einen ansonsten unbenannten „Beitrag zum Erfolg“ in einer ebenfalls vom Benennungsmangel betroffenen „internationalen Gesellschaft“ 3.300 Dollar monatlich in die Hand drücken. Echtes Ehrenwort jetzt, geschworen beim gefälschten Absender!

Wenn Sie Interesse für dieses Stellenangebot haben und sich um diese Arbeitsstelle bewerben möchten, melden Sie sich ein [sic!] www (punkt) blanca (punkt) in (punkt) ua (slash) de (slash)

Und ja nicht versehentlich die Mail beantworten.

Übrigens: Was bei einem „Stellenangebot“ – in den Augen dieser spammenden Schrumpfhirne, versteht sich – ruhig mal fehlen darf, ist eine Beschreibung der Stelle und der ausgeübten Tätigkeiten. Schließlich kann jede Putzfrau programmieren, und wer Henker gelernt hat, ist auch ein guter Chirurg.

Mit besten Grüßen,
Arbeitskräfte-Management [sic!]
Hector Chapman

Mit eiskaltem Gruß
Die organisierte Kriminalität auf der Suche nach Mulis

Investitionsmöglichkei

Donnerstag, 24. April 2014

Nein, nicht ich habe im Betreff einen Buchstaben vergessen…

Für die Achtung der: Executive Officer, [sic!]

Ihr Firmenprofil Operationen und meine Aufmerksamkeit [sic!], im Einklang mit meinem aktuellen Diversifizierung [sic!] und Expansion in die Schaffung von strategischen Partnerschaft würde ich gerne wissen, ob es verfügbar Partnerschaft Optionen und Öffnungen für neue Investoren innerhalb Ihrer Firma. [sic!]

Wir [sic! Wechsel von „ich“ auf „wir“.] sind eine Gruppe von Investoren, die in unternehmerischen Teams mit großen Ideen und einem Kapitalbedarf investieren, um ihre Ideen in großen Unternehmen zu machen.

Bitte antworten Sie hier: (fran (strich) lukas (at) qq (punkt) com)
Frank Lukas

Die einzige „große Idee“, die ich habe, ist eine Organisation, die Spammer ermittelt, um die Spamflut mit einem Bolzenschussgerät zu stoppen. Und ich glaube nicht, dass du die finazieren willst, du Vorschussbetrüger.

Happy Easter + Trading Tip

Dienstag, 22. April 2014

Woodworth returned to Nauvoo and reported the progress he had made in May. All wrongdoing is sin, but there is sin that is not mortal. By the early 1870s, the whites had forced their way into southwestern Montana. Dale, Edgar and Jeanne S. The victims and individuals involved in cases come from upscale levels of society, from oil tycoons to real estate moguls.
The genus was circumscribed in 1977 and contains about four species. The film was at first conceived as being eight hours long. Caravan, Camel, Matching Mole and, briefly, Hatfield and the North. Del’s is now in 36 states, and has even gone international. I want to encourage a higher state of spiritual vibration in this world.

So geht das noch ein paar Absätze lang weiter. Und, was habe ich damit zu tun?

Ach, die Mail hat ja auch noch einen HTML-Part, und da steht nochmal der gleiche Text drin, diesmal allerdings zusammen mit einer tollen, leicht unscharfen Grafik, die mir die vom Spammer gewünschte Botschaft überbringt:

How was your easter? Mine was not bad. The problem with easter is that there isn't enough gifting like during christmas for example, but luckily a friend of mine called me a few hours ago and told me he heard that the stock RCHA is going to soar past a dollar in the coming weeks [...]

Es gibt eben keine Idiotie der Spam, die nicht wiederkommt – dazu gehört leider auch die Spam zur Börsenmanipulation, die mit Spamprosa an den Filtern vorbeigebracht wird und ihre Nachricht lieber in einer (übrigens in jeder Spam leicht veränderten) Grafik verpackt. Klar, das kann jeder Hirnkastrat sofort als Spam erkennen, aber wer sich an der Spam nicht stört, der glaubt auch daran, dass ihm ein völlig unbekannter Mensch mitteilt, er habe von einem Freund erfahren, dass ein Freund eines Freundes der Meinung ist, dass irgendein Pfennigpapier ohne besondere an der Börse gehörig Marktwert gewinnt. Und dann glaubt der Idiot das, kauft die leicht im Kurs manipulierbaren Zettel und der Marktwert steigt tatsächlich – sehr zur Freude der spammenden Verbrecher, die ihre zuvor gekauften Zettel mit Gewinn verkaufen.

Hach ja, als vor ein paar Jahren nach hirnlösender irreführender Reklame der Kreditinstitute jeder Depp glaubte, es handele sich bei den Börsen nicht um Marktplätze, sondern um Gelddruckmaschinen, in die man einfach hineingreifen und sich bedienen kann, da gab es das sogar in Deutsch. Und es steht zu befürchten, dass das auch zurückkommt. Inzwischen gibt es nämlich eine neue Generation von potenziellen Opfern mit Mailadresse…

Close

⚠️ Kein Adblocker erkannt 🛑

Bitte installieren Sie so schnell wie möglich einen Adblocker für ihren Webbrowser! Sie schützen damit die Ihren Computer vor Schadsoftware, die über Malvertising verteilt wird, und Sie schützen sich selbst vor Ausspähung und intransparentem Datenhandel durch halbseiden bis grenzkriminell vorgehende Wirtschaftsunternehmen. Das ist Grund genug, einen Adblocker zu verwenden. Aber gleichzeitig machen Sie auch Ihre gesamte Interneterfahrung schöner, erfreulicher und schneller. Ich empfehle uBlock Origin.