Spam-Splitter

Mittwoch, 9. Oktober 2013

Betreff: Become a Fat Burning Machine

Klingt ja nach einem ganz heißen Leben!

Si vous ne parvenez pas à visvisualiser ce courriel correctement veuillez … Cliquer ici

Wenn ich zu blöd bin, eine HTML-formatierte Spam zu schreiben, die bei dir auch korrekt angezeigt wird, dann klick doch bitte in meine missratene Spam!

Salam Alaikum

Mit dem Dolch hinterm Rücken wünsch ich dir Frieden.

Hello, sir

sorry take your time.

Dann entschuldigt euch nicht, sondern hört auf, mich zuzuspammen!

Ich war beeindruckt, als ich auf die Seite kam, so entschied ich mich für ein Herz schreiben Herzen Diskussion schreiben Sie mir direkt mit dieser E-Mail-ID (kendraotis5 (at) yahoo (punkt) com) dann werde ich, dass mehr senden Foto sand Informationen darüber, wer ich bin.

Das musst du verstehen, ich werde immer ganz feucht, wenn ich auf irgendwelche Seiten komme, und dann muss ich Typen anmailen, um sie kennenzulernen. Und. Ich möchte deine treue Freundin werden.

Good day,

I have a business proposal for you. Kindly get back to me as soon as possible.

Guten Tag, ich mache meine tollen Geschäftsvorschläge nur Unbekannten. Wenn du meine Masche noch nicht kennst, antworte mir bitte für weitere Märchen.

We wish to notify you again that you were listed as a lawful Heir/Beneficiary to the total sum of (Three Million Six Hundred Thousand British Pounds)

Wir haben zwar keine Ahnung, wer du bist, aber deine Mailadresse hat 3,6 Millionen Pfund geerbt. Pass gut auf deine Mailadresse auf! 😀

Message from CPanel Network Server Monitor, 10/07/2013 00:12:00

Und für welchen Server?

Neue Sicherheitsfunktionen, loggen Sie sich bitte ein und bestдtigen Sie Ihr Konto.

Zur Sicherheit gehört jetzt auch eine Mailkryptographie, bei der Umlaute durch kyrillische Zeichen ausgetauscht werden.

Neue Sicherheitsfunktionen, loggen Sie sich bitte ein und bestatigen Sie Ihr Konto

Manchmal fallen dabei aber auch nur einfach die Pünktchen über den Vokalen weg. Wir arbeiten noch an einer tragbaren Lösung.

The link attached to this message only show one side of the story, but the other side of the story is that I lost close friends […]

Der Link auf die Pressemeldung zeigt eine Pressemeldung, und meine Spam zeigt die Geschichte, die ich mir dazu ausgedacht habe. Und möchtest du jetzt Millionär werden?

Sie haben eine neue private Nachricht

Wo denn?

Tausende Artikel mit Rabatten von 70% und 75% zwischen Ende Juli und den ganzen Monat August

Der Oktober-Text ist aber leider schon ausverkauft.

Da ich sehr viele hochqualitative Glücksspielseiten betreibe, möchte ich einen kostenlosen Linktausch mit spam.tamagothi.de oder anderen Seite, die Sie besitzen, vorschlagen

Da ich sehr viele stumpfe Gegenstände besitze, möchte ich eine physikalische Kraftübertragung zu ihrem Kopf (oder ersatzweise, wenn dieser für den angestrebten impact zu hohl ist, auch zu ihrem Rückenmark) vorschlagen. 👿

We are be happy, willing and ready to partner with your Company if you have any viable project we can finance by our on going 2013/2014 Loan Program.

Bei uns kriegt alles und jeder ein Darlehen, wir müssen sogar mit Spam Reklame dafür machen.

Obesity is the result of psychological brain disorder […] The good news is that we have a perfect solution for you: you become 12-15 kg smaller every month without diets or physical exercise using our safe and efficient product.

Ists Hirn kaputt, wird die Wampe fett – und vielleicht fällt sogar der eine oder andere Hirnschaden auf unsere im besten Fall wirkungslosen, oft aber auch giftigen und in jedem Fall völlig überteuerten Schlankheitspillen rein, die wir nur mit asozialer und krimineller Spam verkaufen können.

Sind Sie Interesse wissen, wie Sie verlieren Gewicht, wie Sie Ihren Körper zu erstellen wie Sie Ihre Bauchmuskeln; […]

Haben Sie Wörterbuch wissen, wie Sie lernen auswendig von A bis Z, wie Sie Ihren Spam dann erstellen wie Sie Ihre Texte…

A Few Days to Make $$! This Stock Is Hot!!!

Das Pfennigpapier ist sogar so heiß, dass schon tausende von Gimpeln ihr Geld damit verbrannt haben.

Unser Sicherheitsteam hat eine Validierungsanfrage zur Kontenwiederherstellung erhalten (mit einer korrekten Unterschrift). Sie stammt von einem Mitglied, das behauptet, der Inhaber dieses Kontos zu sein. Seinen Angaben zufolge war sein Passwort kompromittiert und der Zugang zum E-Mail-Konto nicht mehr möglich.

Und deshalb machen wir das per Mail über eine kompromittierte Mail-Adresse, obwohl wir ein Dokument aus Papier haben. Das ist Logik, das musst du nicht verstehen!

After going through your profile on the internet, I wish to discus the investment $US20,000,000 Million dollars in a good sector in your country on partnership.

Das machen wir nämlich alle so, das wir übers Internet Leute aussuchen, denen wir ein paar Millionen Dollar anvertrauen. Dort, wo man sich in so genannten „Profilen“ auf irgendwelchen Websites, deren Namen wir nicht nennen, präsentiert, dort würde doch niemals jemand lügen, um einen falschen Eindruck von sich zu erwecken. Übrigens: Einen Namen oder einen Nick habe ich in deinem „Profil“ nicht gefunden.

Ich freue mich, von Ihnen zu hören!

Ich bin froh über jeden, der noch so naiv ist, dass er auf eine asoziale und illegale Spam antwortet.

Expecting your earliest response

Also bitte schnell antworten, denn das Bordell ist immer so teuer.

Thank you for taking your time to read this message and I am expecting your responds in my private Email: clinton (underline) romsha3 (at) yahoo (punkt) com

Danke, dass du dir die Zeit von mir hast stehlen lassen. Bitte antworte nicht an die gefälschte Absenderadresse

Kisses,
Amanda

Mit Judasbussi vom Spammer

We respect your privacy.

Wir kacken in deinen Briefkasten.

If you don’t want to hear from me about this again, just kindly let me know here.

Wenn du noch mehr Spam bekommen möchtest, sag mir einfach, dass sie ankommt und gelesen wird.

Diese E-Mail enthält vertrauliche und/oder rechtlich geschützte Informationen

Diese E-Mail ist vertraulich wie gebrüllte Worte aus einem Megafon.

Any unauthorized copying, disclosure or distribution of the material in this e-mail is strictly forbidden.

Verklag mich doch, Spammer!

Mit einem Klick ist alles weg…

OFFIZIELLE MITTEILUNG

Dienstag, 8. Oktober 2013

In die „Hall of Shame“ kommen nur die ganz Harten. Die, bei denen sich der mutige Einsatz von Technik und das Streben nach gestalterischer Exzellenz mit unfassbarer Stümperei paart. Die, bei denen die Worte erst einmal Luft holen müssen, ehe sie das Gesehene beschreiben können. Wenn du hier landen willst, Spammer, denn musst du dir schon Mühe bei deiner Müllproduktion geben…

Aber soooo eine offizielle Mitteilung!

Hallo,

Ich habe keine Ahnung, wer du bist, aber…

Anbei ist die OFFIZIELLE MITTEILUNG beigefuegt.

…trotzdem ist beiliegend für dich eine Mitteilung beigelegt, und zwar ganz offiziell anbei.

Mit freundlichen Grussen
Rau Klaum.

Mit freundlichem Gruseln
Dein Vorschussbetrugsspammer.

So weit, so schlecht. Aber da ist auch noch der Anhang mit der offiziellen Mitteilung… sorry… mit der „OFFIZIELLEN MITTEILUNG“ natürlich…, und der hat es wahrlich in sich. Natürlich handelt es sich um einen dieser Lotteriegewinne bei einer Lotterie von Leuten, die eine riesengroße Plantage von Geldbäumen besitzen, so dass man niemals ein Los kaufen muss und mit seier Mailadresse doch einen Millionengewinn nach dem anderen macht, einfach weil das ganze Laub immer im Herbst so lästig wird…

Um die vollständig hirntote Meisterleistung des unbekannten Autors, Typographen und Designers richtig würdigen zu können, gibt es hier keine Zitate, sondern das realdadaistische Gesamtkunstwerk der zweiseitigen „offiziellen Mitteilung“.

Mailadressen und Faxnummern habe ich unkenntlich gemacht, weil ich nicht zum unfreiwilligen Hoster für diese Verbrecher werden möchte. Für eine 150-dpi-Ansicht des hoffentlich einmaligen Dokumentes einfach auf die Bilder klicken. Viel Spaß!

Ich lege dem Spammer nahe, auf Komiker umzuschulen. Dazu hat er deutlich mehr Talent.

foto 20131007

Montag, 7. Oktober 2013

Eine mir völlig unbekannte 885jannie (at) web (punkt) de überrascht mich mit der kürzesten Spam des heutigen Tages:

Sent from my iPhone

Ist ja schön, unbekannte „Jannie“, dass du dein Geld für eine entrechtenden Taschencomputer von Apple aus dem Fenster wirfst, aber deshalb musst du mir doch nicht gleich solche Mails schreiben, in denen gar nichts drin steht. Oder verlernt man das mit dem schriftlichen Ausdruck, wenn man wieder wie ein kleines, der Sprache nicht mächtiges Kind nicht spricht, sondern mit seinem Fingern direkt nach den Dingen greift, die man haben möchte und wenn man ansonsten nur viele bunte Bilder in einem displaykleinen Kleinkindzimmer hin-und-herschiebt?

Ach, da ist ja noch ein Anhang dran, „Jannie“.

Mit einem ZIP-Archiv, in dem eine Datei liegt, deren Namen auf .jpeg.exe endet, also mit einer ausführbaren Datei für Microsoft Windows, die von kriminellen Spammern zugestellt wurde.

Und damit sich dieser Angriff auf einige zehntausend Privatrechner auch lohne, erkennt nur ein Fünftel der gegenwärtigen Antivirus-Programme deine Schadsoftware.

Komm, „Jannie“, das ist zwar kein Foto, aber es gibt einen besseren Eindruck von dir, als jedes Foto es vermöchte…

Dein dich „genießender“
Nachtwächter

PS: ZIP-Archive in Mailanhängen stinken! Immer!

Wichtig : PayPal Mitteilung

Samstag, 5. Oktober 2013

Muss wohl wichtig sein, wenn schon im Betreff steht, dass es wichtig ist…

Das wirklich Wichtige allerdings vorab: Diese ziemlich „gut“ gemachte Phishing-Mail mit dem gefälschten Absender service (at) paypal (punkt) de kommt nicht von PayPal, obwohl der Empfänger namentlich angesprochen wird.

Wenn der Müll dann auch noch an die richtige Mailadresse gegangen wäre, hätte er einen naiven Empfänger überzeugen können – ich habe die Angewohnheit, für jede Sache eine eigene Mailadresse einzurichten, und dieses kleine bisschen Prävention empfehle ich erst recht jedem Menschen, der weniger geübt darin ist, Spam sicher als solche zu erkennen. Seit die Verbrecher große Datenbanken haben, in denen Mailadressen zu Namen zugeordnet sind, seit eine persönliche Ansprache also kein Indiz mehr dafür ist, dass eine Mail auch „echt“ ist, bleibt kaum noch ein anderer einfacher Schutz vor derartigen Phishing-Versuchen. Die Verwendung eines guten Mailclients – ich verwende übrigens den inzwischen etwas „moppelig“ gewordenen Thunderbird – macht es einfach, mit mehreren Mailkonten umzugehen.

Natürlich hat auch diese „gut“ gemachte Phishing-Mail eine Reihe von Formulierungsschwächen, die es einem erfahreneren Spamgenießer ermöglichen, den Müll sicher als Müll zu erkennen. Hier nur eine ganz kurze Auflistung dessen, was mir sofort aufgefallen ist, bevor ich mir die Mail näher anschaute:

Hallo
Eine „unhöfliche“ Anrede, die PayPal mit an Sicherheit grenzender Wahrscheinlichkeit nicht für die Kundenansprache wählen würde. Ich schließe aus dieser Anrede, dass diese Spammer noch keine automatisierbare Methode haben, aus dem Vornamen das Geschlecht des Empfängers zu bestimmen, um „Sehr geehrter Herr“ oder „Sehr geehrte Frau“ vor den Namen setzen zu können.
im Rahmen unserer aktuellen Identitätsprüfungen
Wie sollte eine Unternehmung, die nichts weiter als verifizierte Kontodaten hat, „Identitätsprüfungen“ durchführen? Das ist Bullshit.
bezüglich Ihres PayPal-Kontos
Eine steife, papierhaft klingende Formel, die den spröden Charme eines Strafzettels verbreitet. Unwahrscheinlich, dass so etwas im Kundenkontakt verwendet wird.
Sie als eindeutigen Inhaber zu verifizieren
Das wäre zwar mit einem Ausweisdokument oder einer notariell beglaubigten Kopie eines solchen möglich, aber nicht mit ein paar Eingaben in einer Website. Übrigens könnte bei solchen Vorwänden in Zukunft den Phishern der „elektronische Personalausweis“ sehr entgegenkommen, weil er die Idee einer Identitätsprüfung über eine Website plausibler macht. Eine von technisch unbeleckten Innenministern eingeführte „Sicherheit“ über ein maschinenlesbares Dokument könnte also der organisierten Kriminalität direkt zuarbeiten und für weniger Sicherheit sorgen.
Bitte klicken Sie auf "Konfliktlösungen"
So etwas würde – wenn es das gäbe – vermutlich in einer Weise benannt, die nicht beim Kunden den Eindruck eines „konfliktträchtigen“ Daseins als Kunde erweckt. Ich möchte den Spammern, die hier mitlesen, jetzt aber keine Formulierungshilfe geben… 😉
Dort ist ganz genau beschrieben, weshalb wir diese Prüfung durchführen
War in der E-Mail etwa kein Platz mehr dafür?

Es ist also immer noch möglich, trotz namentlicher Ansprache durch entspanntes, gründliches Lesen zu erkennen, dass es sich mit hoher Wahrscheinlichkeit nicht um eine E-Mail von PayPal handelt.

Wenn man dann noch das unbedingt empfehlenswerte Quäntchen Vorsicht aufbringt, vor dem Klick auf einen Link in die Statuszeile seiner Mailsoftware zu schauen, wohin dieser Link überhaupt geht, fällt auf, dass er nicht in die PayPal-Website geht, sondern zum mir bislang unbekannten URL-Kürzer nvlx (punkt) de. PayPal hat – im Gegensatz zu kriminellen Spammern – keinen objektiven Grund, seine eigene Domain in einer E-Mail auf diese Weise zu verschleiern, so dass es sich um ein sehr deutliches Alarmsignal handelt.

Über nvlx (punkt) de gibt es dann eine Weiterleitung in die Domain check (strich) p25 (punkt) net, wo man in einer „liebevoll“ nachgemachten PayPal-Seite gegenüber „PayPal“ lauter Daten angeben kann, die PayPal schon lange kennt – und die in der Spam versprochene Erklärung, warum man das überhaupt tun sollte, gibt es dort natürlich nicht. Inwieweit auf diese Weise eine „Identität“ überprüft werden kann, gehört zu den Fragen, die jeder aufgeweckte Dwölfjährige beantworten kann: Gar nicht.

Einmal ganz davon abgesehen, dass PayPal niemals E-Mails mit der Aufforderung versendet, irgendwelche Bullshit-Verifizierungen zu machen.

Aber es bleibt festzuhalten: Spam mit namentlicher Ansprache ist wesentlich gefährlicher als anonym formulierte. Seit dem ersten personalisierten PayPal-Phishing, das mir untergekommen ist, haben die Spammer eine Menge dazu gelernt. Und sie werden mehr dazulernen, das ist sicher. Sie leben schließlich davon, dass möglichst viele Menschen auf ihre Spam hereinfallen.

SEO-Spamsau: gotlikers.com

Donnerstag, 3. Oktober 2013

Was für ein schöner warmer Kommentar ausgerechnet hier auf Unser täglich Spam:

Woah this website is definitely spectacular i love mastering your posts. Continue being up the good work! You are aware of, a lot of people want about in this information, you could help them drastically.

Es bleibt zwar etwas rätselhaft, warum der nette Leser dieses dick aufgetragene Lob nicht in deutscher Sprache ablassen kann, wenn er so viele Posts eines spektakulären, hilfreichen und informativen Blogs gelesen hat, die – bis auf einige der wenig lesenswerten Zitate, um die es geht – allesamt in Deutsch formuliert sind, aber es geht ja auch zum Beispiel mir so, dass ich Englisch besser lesen als schreiben kann. Wer ist eigentlich dieser Kommentator? Mal nachschauen…

Name: Get Facebook Fans, Twitter Followers, Youtube Views, Google +1’s, Stumbleupon Followers, Website Hits, Twitter ReTweets, and MORE!

Als „Homepage“ zu diesem großartigen Namen hat der skriptnutzende Bratschädel von Spammer die wenig empfehlenswerte Website unter der erst vor drei Tagen eingerichteten Domain gotlikers (punkt) com angegeben, die jetzt in einer Flut von Kommentarspam mit diesen Keywords verlinkt werden soll, um Google zu manipulieren.

Auf dieser Website kann man sich kostenlos registrieren, um für irgendwelche obskuren, dort gegen richtiges (und nicht wieder erstattetes) Geld zu erwerbenden „Coins“ Interaktionen auf irgendwelchen Tracking-, Datensammel- und Überwachungssites im Netz zu bekommen, die vorgehen, den menschlichen Austausch zu fördern. Selbst einer jener Menschen, der Spammern in Charakter und Beliebtheit so nahe steht, dass er irgendwelche „Follower“ auf irgendwelchen S/M-Sites¹ für ein paar Groschen kaufen muss, sollte einsehen, dass bei dermaßen unseriös werbenden Zeitgenossen mit einer völlig impressumslosen Website eher davon auszugehen ist, dass das Geld ohne jede Gegenleistung futsch ist.

Denn wer von Anfang an – die Site ist drei Tage alt – auf solche Spam zur Google-Manipulation setzt, weiß wohl schon vor jedem laufenden Geschäft ganz genau, dass er niemals wegen seiner Angebote von zufriedenen Nutzern verlinkt werden wird.

Ich werde mir auch in Zukunft immer wieder einmal einen dieser „Kommentatoren“ rauspicken, die mit verlinkten Keywords die Indizes der Suchmaschinen beeinflussen wollen, auf dass die Menschen nicht mehr das finden, was sie suchen, sondern das, was die SEO-Kommentarspammer sie finden lassen wollen. Diese „Kommentare“ sind reine Spam, ein asozialer, widerwärtiger und böser Missbrauch von Kommunikationskanälen auf Kosten vieler anderer Menschen. Im Gegensatz zu den meisten anderen Formen der Spam steht hier jedoch ein Verursacher mit Sicherheit fest – eben der Betreiber der so „hochgebrachten“ Website. Es kann sich auch nicht um Sabotage durch den Mitbewerb handeln, denn niemand kann ein Interesse daran haben, dass sein Konkurrent einen Vorteil am Markt erlangt. Deshalb werde ich diese Websites, die ganz sicher von Leuten betrieben werden, die selbst spammen oder Spam bei anderen Leuten in Auftrag geben, hier immer wieder unter Namensnennung, aber ohne Link erwähnen und als Spammer brandmarken. Wenn sie eine gewerbliche Website betreiben und eine solche „lobende Erwähnung“ nicht wünschen, kann ich ihnen nur empfehlen, auf das gleichermaßen asoziale wie illegale Werbemittel der Spam zu verzichten. Sie könnten es ja mal mit Inhalten versuchen, die auch Leser anziehen.

¹S/M ist meine Abk. für „social media“. Aus Gründen.

Softwareaktulisierung

Mittwoch, 2. Oktober 2013

Der Absender dieses teilweise unfreiwillig lustig formulierten Phishing-Versuches nennt sich „Stadt Sparkasse“ und verwendet die wenig überzeugende Absenderadresse net (at) endmerwintest (punkt) biz. Wenn man schon eine Absenderadresse fälscht, dann kann man es doch auch gleich gut machen!

Ach, dafür brauchte man ein Gehirn, ich verstehe…

Sehr geehrte(r) Herr/Frau,

Ab dem 30.09.2013 [sic! Am 2.10. erfährt man erst davon!] führt die Sparkasse [welche?!] ein Upgrade aller Online-Banking-Konten durch, um Betrugsmaschinerien [sic!] und Internetkriminellen den Zugang zu Kundendaten zu erschweren. Im Rahmen eines Online-Banking Upgrades [sic! Deppen Leer Zeichen] wird die Sicherheit eines jeden Sparkassenkundenkonto [sic! Kein Genitiv] weiterhin gewährleistet. Um an dem Upgrade teilzunehmen, öffnen Sie bitte den untenstehenden Aktivierungslink.

www.sparkasse.de/update/kunde

An dieser Stelle hat den Phisher offenbar die Konzentrationsfähigkeit verlassen. Er hat seinen Link – der natürlich in dieser HTML-formatierten Spam nicht zur Sparkasse, sondern in die Domain areainformatica (punkt) co geht – in die Mail gehämmert, ist also mit allem fertig, was er sich vorgenommen hat und schreibt jetzt noch eine ganze Größenordnung peinlicher und nachlässiger:

Wir empfehlen Ihnen dringend dieses Upgrade durchzuführen. [Ja, muss ich denn nun, oder ists nur eine Empfehlung?] Im falle [sic!] einer Enthaltung [sic!], wird Ihr Online-Banking tool [sic!] für Sie nicht mehr zugänglich sein. Als ein angesehenes und seriöses Finanzinstitut [sic!], sehen [sic! Komma zuviel] wir uns verpflichtet [sic! Hier fehlts Komma] unseren Kunden gegenüber Vertrauen und Sicherheit zu maximieren [sic!] und langfristig exzellenten Zahlungsverkehr zu garantieren. [sic!]

Kaum anzunehmen, dass nach „Genuss“ dieser Passage noch jemand glauben kann, dieser Strunz käme wirklich von einer Sparkasse.

Bitte beachten Sie die Dringlichkeit dieses Upgrades.

Mit freundlichen Grüßen,
Ihr Sparkassen-Team

Alles weitere, was ich zu dermaßen schlechten Phishing-Maschen zu sagen habe, habe ich schon vor ein paar Wochen gesagt. Viel Spaß damit.

Fernsehbericht

Mittwoch, 2. Oktober 2013

Der Absender nennt sich PRO7, hat aber nichts mit einem ähnlich benannten Fernsehsender zu tun. Die Absenderadresse ist bericht (at) top (strich) produkt (punkt) de.

Hallo,

Ich habe nicht die geringste Ahnung, wer sie überhaupt sind.

einfach ansehen und entscheiden, ich verspreche Ihnen das ist auch was für Sie.

http://www.top-produkt.de/bericht

Dafür gebe ich ihnen in einer illegalen und asozialen Spam einen Link zum Draufklicken. Weil das etwas „für sie“ ist. Was das ist? Hey, im Internet der Spammer und Kriminellen sind Katzen im Sack total begehrte Tiere, das verrate ich einfach nicht. Wenn sie so doof sind und drauf klicken, erzähle ich ihnen auf einer gewerblichen Website ohne Impressum, dass das Geld aus der Steckdose kommt, wenn sie auf mein Geschäft einsteigen.

versendet an mxxxt (at) hxxxxxxxu (punkt) de

Versendet an eine Mailadresse.

Der Fernsehbericht geht ca. 5 Minuten

Spam ist das neue Fernsehen.

Diese Spam wurde mechanisch erstellt und ist ohne Unterschrift gültig.

RechnungOnline Monat Oktober 2013

Montag, 30. September 2013

Die Mails mit dem gefälschten Absender rechnungonline (punkt) (at) telekom (punkt) de, die verblüffend ähnlich wie eine echte Mail der Deutschen Telekom aussehen, sind natürlich keine Mails der Deutschen Telekom. Mein soeben erhaltenes Exemplar wurde von einer dynamisch vergebenen IP-Adresse aus Italien, also vermutlich über einen mit Schadsoftware zum Bot gemachten Privatrechner, versendet. Das Layout und der Text entspricht vollständig dem kriminellen Versuch aus dem Februar dieses Jahres.

Ihre Rechnung für Oktober 2013

Guten Tag,
mit dieser E-Mail erhalten Sie Ihre aktuelle Rechnung. Die Gesamtsumme im Monat Oktober 2013 beträgt: 41,67 Euro.

Spätestens beim Fehlen der persönlichen Anrede sollte klar sein, dass es sich nicht um eine Mail der Deutschen Telekom handelt. Kein Unternehmen wird seine Kunden unpersönlich ansprechen. Da die Spammer inzwischen viele Zuordnungen von Namen zu Mailadressen in ihrem Datenbestand haben, ist aber auch eine persönliche Ansprache in keinem Fall mehr ein hinreichendes Indiz, dass die Mail wirklich von der Deutschen Telekom stammt.

Ziel dieser Spam ist es, dass der Empfänger den Anhang öffnet. Es handelt sich um ein ZIP-Archiv, in dem sich eine Datei befindet, deren Name auf .pdf.exe endet, also eine direkt ausführbare Datei für Microsoft Windows, die von Verbrechern mit gefälschtem Absender unter Erweckung eines falschen Eindruckes zugestellt wurde – und die als kostenlose Zusatzleistung klar macht, wie die Verbrecher wohl an ihr Botnetz für den Spamversand gekommen sind. Nach dem „Öffnen“ dieser Datei hat man einen Computer anderer Leute auf seinem Schreibtisch stehen und muss damit leben, dass die Internetleitung von Verbrechern genutzt wird, dass sämtliche Tastatureingaben an die Verbrecher gehen und dass alle auf diesem Rechner bewusst oder unbewusst gespeicherten Daten kompromittiert sind.

Wer Microsoft Windows in den Standardeinstellungen belassen hat, glaubt zu sehen, dass der Dateiname auf .pdf endet, weil Microsoft der Meinung ist, dass der wirkliche Dateiname vor dem Anwender verborgen bleiben muss und mit dieser dummen und leider – trotz der Wucht der organisierten Internet-Kriminalität der Zehner Jahre – niemals korrigierten Entscheidung aus der Mitte der Neunziger Jahre eine derartige Überrumpelung überhaupt erst ermöglicht.

Die Schadsoftware wird zurzeit nur von einem Drittel der gängigen Antivirus-Programme erkannt. Wer sich auf diesen „Schutz“ verlassen hat, ist wieder einmal verlassen.

Warum die Hersteller des Antivirus-Schlangenöls¹ nicht dazu imstande sind, eine Datei mit einem Namen wie .pdf.exe allein deshalb als verdächtig zu behandeln, weil eine solche Benennung außerhalb der Trojanerverbreitung durch Überrumpelung vollständig sinnlos wäre, gehört zu den Fragen, die sie am besten einmal dem Antivirus-Schlangenölhersteller ihrer Wahl stellen. Nachdem derartige Nummern schon seit einigen Jahren laufen und großen Schaden anrichten, habe ich nicht mehr das geringste Verständnis dafür, dass dieses sehr einfache Muster einer doppelten Dateinamenserweiterung von .exe-Dateien nicht erkannt wird.

Wenn diese Spam mit einer namentlichen Ansprache bei einem Telekom-Kunden angekommen wäre, hätte er kaum Chancen gehabt, sie als Spam zu erkennen. Als letztes verdächtiges Anzeichen bleibt der leicht zu übersehene, überflüssige Punkt in der gefälschten Absenderadresse. Diese Schwäche wird vermutlich in zukünftigen Spamwellen dieser Masche verschwinden.

Es gilt weiterhin: Anhänge in E-Mails stinken und sollten nur mit äußerster Vorsicht behandelt werden. Dies gilt in ganz besonderem Maße, wenn der Anhang ein ZIP-Archiv ist, in dem sich ein angebliches „Dokument“ wie eine Rechnung, eine Auftragsbestätigung, eine Mahnung oder dergleichen befindet. In diesen Fällen handelt es sich beinahe ausschließlich um Schadsoftware, die an einen serverseitigen Spamfilter vorbeigemogelt werden soll – auf den meisten Servern wird nämlich darauf verzichtet, bei der Spamerkennung Archivformate auszupacken, um zu vermeiden, dass mit einer Archivbombe der Server „abgeschossen“ werden kann.

Wenn sie eine Rechnung als E-Mail erhalten, und im Anhang dieser Mail befindet sich ein ZIP-Archiv, das die eigentliche Rechnung enthält, können sie diese Mail bereits löschen. Es besteht keinerlei sachliche Notwendigkeit, echte Rechnungen in ein Archiv zu verpacken und auf diese Weise für den Empfänger umständlicher handhabbar zu machen (weil PDF-Dokumente bereits selbst komprimiert werden können). Aber es gibt einen „guten“ Grund für die Spam-Verbrecher, ihren hochgefährlichen Sondermüll in dieser Darreichungsform zu versenden. Schließlich leben die Halunken davon, dass die Mail nicht in Spamfiltern hängenbleibt, sondern ankommt und arglose Menschen dazu bringt, das zu tun, was die Halunken wollen.

Also: Äußerste Vorsicht bei E-Mail mit Anhang! Egal, wer der Absender zu sein scheint!

¹Wenn eine derartig primitive Masche auch nach Jahren noch dazu benutzt werden kann, einem naiven Anwender eine Software von Verbrechern unterzujubeln, dann belegt das nur eines: Den Herstellern von Antivirus-Programmen sind die realen Verbreitungswege der Schadsoftware und die davon betroffenen Menschen egal. Ihnen reicht das Geschäft mit der gefühlten Sicherheit, das sie sich gut bezahlen lassen. Sie sind wie Quacksalber, die einem Menschen mit einer lebensbedrohlichen Lungenentzündung überteuerte Hustenbonbons verkaufen und auf die Placebo-Wirkung hoffen. Es ist nur noch Schlangenöl, kein Bemühen mehr um das, was eigentlich verkauft wird: Ein leidlich vor den Attacken der Kriminellen abgesicherter Computer.