Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.

Ihre Bordkarte(n)

Dienstag, 19. März 2013

Nein, diese Mail kommt nicht von Condor. Der Absender ist gefälscht. Die Angaben in der Mail sind Lüge. Es ist kriminelle Spam, die mit alarmierenden Inhalt dafür sorgen soll, dass viele Empfänger den Anhang öffnen. Es ist Massenware. Allein bei mir sind heute im Verlauf einer Stunde fünf davon auf unterschiedlichen Mailadressen angekommen. Und ich erwarte garantiert keine Flugtickets, ich weiß nämlich noch nicht einmal, was ich heute essen soll.

Lieber Passagier,

Ah ja, einen tollen Namen habe ich heute von den Spammern bekommen.

im Anhang dieser Mail finden Sie in Form eines PDF Dokumentes, die von Ihnen angeforderte(n) Bordkarte(n). Bitte drucken Sie Ihre Bordkarte(n) im DIN A4 Format aus, Sie ben�tigen Ihre Bordkarte(n) bei den Sicherheitskontrollen, am Abflugsteig (Gate) bzw. wenn Sie mit Gep�ck reisen bereits am Baggage Drop-off.

Ich verstehe, so ein PDF trägt die Dateinamenserweiterung .exe und ist eine ausführbare Datei für Microsoft Windows. Wer die unter Microsoft Windows öffnet, führt ein Programm von Verbrechern auf seinem Computer aus und hat in der Folge hinterher einen Rechner anderer Leute auf seinem Schreibtisch stehen. Diese anderen Leute werden genügend Möglichkeiten finden, einen kriminell übernommenen Computer für ihre üblen „Geschäftsideen“ zu „benutzen“.

So genannte „Antivirenprogramme“ – von mir liebevoll „Schlangenöl“ genannt – bieten einmal mehr einen sehr unzuverlässigen Schutz, die Schadsoftware wird zurzeit von der Mehrzahl der Programme nicht erkannt. Ein wesentlich besserer Schutz ist die Verwendung eines anderen Betriebssystemes als Microsoft Windows. Alternativen stehen kostenlos zum Download zur Verfügung und sind auf einem aktuellen Computer in weniger als einer halben Stunde vollständig installiert.

P�nktlichfliegen: Finden Sie sich sp�testens 45 Minuten vor der geplanten Abflugzeit am Abflugsteig (Gate) ein! Planen Sie unbedingt ausreichend Zeit f�r Pass- und Sicherheitskontrollen ein!

Zur Darstellung von PDF-Dateien benoetigen Sie den Adobe Reader. Sollten Sie den Adobe Reader noch nicht auf Ihrem Computer installiert haben, koennen Sie diesen unter http://get.adobe.com/de/reader kostenlos herunterladen und installieren.

Der Rest ist Mummenschanz. Zum Glück sind die spammenden Verbrecher zu unfähig, diese komischen Vokale mit den Pünktchen drüber korrekt codiert in einer E-Mail unterzubringen, so dass kaum anzunehmen ist, dass viele Leute darauf reinfallen werden.

Was ich immer wieder sage, gilt einmal mehr: E-Mail-Anhänge, die in nicht digital signierten und damit in der Absenderangabe beliebig fälschbaren Mails zugestellt werden, stinken. Es handelt sich beinahe ausnahmslos um Schadsoftware. Niemals sollte ein solcher Anhang geöffnet werden. Auch nicht, wenn die Mail vorgibt, von einer Unternehmung zu kommen, mit der man selbst im Geschäft ist. Sicherheit über den Absender schafft nur die digitale Signatur der Mails, ein Verfahren, dass seit deutlich über einem Jahrzehnt zur Verfügung steht.

Die Masche mit den „Tickets“, „Rechnungen“ und „Mahnungen“ als E-Mail-Anhang muss ausgesprochen erfolgreich sein, denn sie läuft seit Wochen und in immer wieder neuer Verpackung und unter Beschmutzung immer neuer Firmierungen mit den kriminellen Machenschaften der Spammer.

Condor w�nscht Ihnen einen angenehmen Flug.

Condor hat diese Mail nicht versendet. Und ich wünsche den Menschen, die diese Mail versendet haben, ein äußerst unangenehmes, schmerzhaftes, langwieriges, angstvolles und einsames Verrecken.

Diese E-Mail wurde Ihnen von Condor Flugdienst GmbH zugestellt. Vorsitzender des Aufsichtsrates: Heiner Wilkens. Gesch�ftsf�hrung: Ralf Teckentrup (Vorsitzender), Uwe Balser, Dr. Ulrich Johannwille. Sitz: Kelsterbach. Registergericht und Handelsregister Nr.: Amtsgericht Darmstadt Nr. 83385

Von wegen!

Confirm your prize

Montag, 18. März 2013

Die bis auf die angegebene Telefonnummer völlig gleiche Spam gibt es auch mit dem Betreff „Confirm your award“. Bei beiden Betreffzeilen wird oft noch ein heiterer Salat aus Ziffern und Buchstaben angehängt, der wohl irgendwie den Eindruck einer Losnummer erwecken soll, obwohl hier doch – „Classic Email Sweepstakes Program“ – angeblich Mailadressen gewinnen. :mrgreen:

Die Antwort soll immer an desmond (punkt) williams4 (at) aol (punkt) com gehen, und vermutlich gibt es den auch schon mit einer angehängten 5, 6, 7… schließlich hat ja jede natürliche Zahl einen Nachfolger. Das Kunststück, die Antwortadresse in einem Reply-To-Header zu schreiben, hat der Spammer unglaublicherweise bewältigt, so dass man die Mail auch einfach beantworten kann, indem man auf „Antworten“ klickt. Warum der Absender nicht einfach in der Absenderadresse angegeben wird? Klar, weil die Absenderadresse gefälscht ist, ganz wie immer in der Spam.

You have won Ђ1,200.000.00 (One million two hundred thousand euro), in the Cisco international Classic Email Sweepstakes Program, held on the 16th March 2013 In Amsterdam Netherland.

Wir haben keine Ahnung, wer du überhaupt bist und können dich nicht ansprechen, aber du hast in einer E-Mail-Lotterie, für die man niemals ein Los kaufen muss, einen riesen Berg Zaster gewonnen. Wie man dieses komische €-Zeichen in die Mail bekommt, lernen wir gerade noch. Und Cisco sind wir auch nicht. Sonst würde Cisco wohl auch breit Werbung damit machen, dass man Millionen zu verschenken hat, und du hättest bestimmt davon gelesen.

You are hereby officially notified of this award and to advised to contact the processing office immediately. For the claim

Contact: Mr. Williams Bentley
City/Country: Amsterdam, The Netherlands.
Reply to Email: desmond.williams4@aol.com
Telephone no.: +316-1970-xxxx [von mir unkenntlich gemacht]

Also sei doch bitte so doof, dass du uns diese unglaubwürdige Geschichte abnimmst, obwohl wir dich mit gefälschtem Absender anmailen. Ruf einfach mal an, damit wir dir tolle weitere Geschichten erzählen können, von Geld, das einfach so für dich rumliegt. Es sind nur noch ein paar Formalitäten zu erledigen. Und dafür werden ein paar finanzielle Vorleistungen fällig. Ein richtiges Konto haben wir nicht, deshalb schick dein Geld schön anonym über Western Union und MoneyGram rüber, damit wir auch weiterhin in den Puff gehen können und nicht in den Knast müssen!

It is important to note you that your award information was released With the following particulars attached to it.

E-mail Ticket Number: NL775-6524
Reference Number: NED/6452-7846
Serial Number: AMS4578-6425BB
AMSTERDAM BACTH NO: 4517-5215CC
Draw Lucky Numbers: KK2154-2154NL

Es ist wichtig, dass du diesen tollen Zahlen- und Buchstabensalat angibst, obwohl angeblich deine Mailadresse gewonnen hat, die nichts mit diesem Bullshit zu tun hat. Wir haben gerade eine Million Mails mit den gleichen tollen Nummern versendet, und zwar an völlig verschiedene Mailadressen.

You are requested to state your Full Name & Telephone Number in your confirmation of this prize.

Ganz wichtig! Gib uns schnell deine Telefonnummer, denn wir sind geübt darin, dich am Telefon bis zum Verlust deines Verstandes mit unseren geübt aufgeführten Lügen vollzuquasseln.

Note: all winning must be claimed not later than 30th Working days

Und schnell muss es alles gehen! Sonst ist der nicht existente Zaster futsch. Was meinst du wohl, mit welchem psychischen Hebel wir dir in den nächsten Wochen Tausende von Euro rausleiern werden?

Sincerely
Zetty van Derk.

Mit mechanischem Gruß
Dein Vorschussbetrugsspammer.
(Der gewohnheitsmäßig einen Punkt hinter seinen Namen setzt.)

Das Neue Merkur webseite! Diese woche erst gestartet

Sonntag, 17. März 2013

Ob Paul Gauselmann wohl den Missbrauch und die damit verbundene Beschmutzung seiner Geldspielgeräte-Marke „Merkur“ durch kriminelle Spammer toll findet? Natürlich hat diese Mail nichts mit ADP-Automaten zu tun, hier wird einfach nur eine bekannte Marke mit dem kriminellen Dreck der Spam beworfen, um einen falschen Eindruck beim Empfänger zu erwecken.

Screenshot der Spam, die nur aus Bilder besteht, mit sichtbarem Alt-Text: Wenn Sie nichtsehen können Diese E-Mail richtig, bitte zeigen Sie die Bilder für diese E-Mail

Hey Spammer,

wenn du nichtschreiben können Texts in Dieses E-Mail vernünftig, deine aus dem Web nachgeladenen Bilders auch nur Bullshit. Und dass du missbrauchen hotgelinkte Bilders von ADP-Automaten in HTML-formatiertes Spam, um zu setzen Links auf obskures Betrugssite auf Bilders von in Deutschland vertrautes Geräten, einfach nur widerlich. Und dass weiterleiten mit angehängtes Affiliate-ID machen ganz klar was lichtscheues Gesindel du sein, Spamkopp!

Und das auf Betrugsladen „Sunny Player Casino“ nichts die Rede von Merkurkästen…

Screenshot der betrügerischen Website

…aber dafür ganz normales windiges Abzockcasino, du auch nicht mehr merkens, Idiot! Du locken Leuts von gesetzlich reglementierte Spielhallen in völlig unkontrolliertes Internet-Zockhölle, wo jedes Manipulation möglich sein, nur weil kriegen deine Affiliate-Judasgroschen für die dreißig, vierzig Dummen, die das für total heißes Tipp halten.

Geh sterben, Spammer!

Dein dich „genießender“
Nachtwächter

Dada-Alarm!

Samstag, 16. März 2013

Kommentarspammer!

Mit Texten wie diesem…

Jalu has forgotten falling off his bicycle.You‘ve got
a point there.Let’s not waste our time.Somebody’s knocking at the door.I pr
omise.Mr. Smith taught English at a school.Mr. Smith taught English at a sc
hool.It’s a long story.He was efficient in his work.I‘m glad to see you aga
in

…bist du auf dem besten Weg, zum Großmeister des mechanodadaistischen Dichtung zu werden. Obwohl du irgendwie nicht mehr ganz dicht zu sein scheinst. :mrgreen:

Dieses gülden Kleinod der bescheuerten Kommentarspam wurde mir von meinem Leser G. zugesandt.

Salutations au nom de Dieu

Freitag, 15. März 2013

Salutations au nom de Dieu
Bonjour mon cher

Ich habe keine verdammte Ahnung, wer du bist, denn diese Spam geht in ein paar hunderttausend Ausgaben in die wehrlosen Postfächer.

Je suis Nicole Roland l‘âge de 41 ans, je suis atteint d‘une maladie du cancer. Je vous envois ce message car j‘ai un don de € 2,600,000.00 euros (deux millions six cent mille euros) pour faire pour vous d‘utiliser les services d‘un organisme de bienfaisance humanitaire. Je vous ai contacté pour cette raison et maintenant hâte de vous entendre pour que je puisse vous informer de la prochaine étape.

Für mich selbst habe ich mir einen hübschen Namen ausgedacht – ich bin übrigens dieser ausgedachte Name, und deshalb schreibe ich auch nicht „je m‘appelle“, sondern „je suis“ – und wie üblich beim Vorschussbetrug leide ich unter Krebs, werde bald sterben und sitze auf einen riesen Berg Zaster, den ich an wohltätige Organisationen spenden will. Entsprechende Kontonummern stehen mir leider zurzeit nicht zur Verfügung, weil ich das Internet nur zum Spammen und Betrügen verwende. Ich habe dich zusammen mit ein paar hunderttausend mir ebenfalls völlig unbekannten, anderen Leuten angemailt, weil ich hoffe, dass wieder drei Handvoll Leute so naiv sind, eine derart unglaubwürdige Story zu glauben und mir antworten. Diese Leute werde ich zusammen mit meinen Freunden in der nächsten Etappe meines Betruges so richtig übel bearbeiten, und wir werden am Telefon und in weiteren Spams so eine richtig tolle Geschichte aufbauen, die an die dumme und dumm machende Gier appelliert. Und dann wird halt eine Vorleistung nach der anderen rausgeleiert, immer schön über Western Union und MoneyGram, damit wir uns davon dicke Autos und Koks kaufen können und mehr Zeit mit diesen teuren Nutten verbringen können und nicht in den Knast gehen. Dein Geld, das du uns gibst, ist natürlich weg.

Je vous remercie comme je l‘ai hâte de vous entendre.
Nicole Roland.

Von daher wäre ich echt froh, wenn ich von dir etwas hören würde. Wenn du mir antwortest, wirst du eine ganz große Märchenstunde erleben.

Dein Vorschussbetrugsspammer

Hui, lange keine Spam mehr auf Französisch gehabt. Und die ist sogar einigermaßen gut, und man kann sie auch beantworten, indem man auf Antworten klickt. Aber die Geschichte… kommt, Spammer, dieser Geschichte fehlt bei aller Kürze jede Glaubwürdigkeit. Das ist so eine 08/15-Betrugsmail, dass ich sie lesen konnte, ohne wirklich Französisch zu können.

E-Ticket Intl. Apt. Referenznummer 8380026927

Donnerstag, 14. März 2013

Eine sinnlose Ziffernfolge schafft ja sofort Aufschluss über den Inhalt!

Dies ist eine automatisierte Nachricht. Eine Antwort auf diese Nachricht wird nicht gelesen und nicht beantwortet. Bei weiteren Fragen lesen Sie bitte erst die entsprechenden „Fragen & Antworten“ auf unserer Website www.flugladen.de

Dies ist eine Spam. Diese Flugladen-Site hat mit dieser Mail nichts zu tun. Der Absender ist gefälscht. Den Verbrechern, die diese Spam massenhaft versendet haben, ist es vollkommen egal, dass sie damit den Ruf eines Unternehmens durch den kriminellen Dreck ziehen. Den Verbrechern, die diese Spam massenhaft versendet haben, ist es vollkommen egal, dass durch diese Spam ein wirtschaftlicher Schaden beim Unternehmen entsteht, dessen Firmierung in der Spam missbraucht wurde – denn die Telefone werden dort heute den ganzen lieben Tag lang nicht stillstehen, und was da anruft, sind keine Kunden und es hat auch nichts mit Geschäftsvorfällen zu tun, sondern es sind genervte Empfänger dieser kriminellen Spam, die ihren Frust loswerden wollen.

Fur den Fall, dass Sie aus unserem Suchsystem „Fragen und Antworten“ eine e-Mail versenden, mochten wir Sie bitten die Rechnungsnummer 2210074579 anzugeben.

Man beachte: Die „Rechnungsnummer“ hat nichts mit der „Referenznummer“ aus dem Betreff zu tun. Kein Unternehmen würde durch die Verwendung verschiedener Nummern dafür sorgen, dass Missverständnisse vorprogrammiert sind. Jedenfalls nicht, nachdem diese Missverständnisse viel Geld durch sinnlos verplemperte bezahlte Arbeitszeit von Mitarbeitern gekostet haben, was recht schnell geschähe…

Flugladen.de

Wie schon erwähnt: Hat damit nichts zu tun.

Ich lege den Betreibern von flugladen.de nahe, einen deutlichen Hinweis auf diese gefährliche Spam auf der Startseite zu platzieren, um die eigenen Kunden zu schützen. Zurzeit ist das nämlich noch nicht der Fall. Wenn dies nicht geschieht, lege ich den Kunden nahe, sich nach einem Anbieter umzuschauen, der sich wenigstens so weit für sie interessiert, dass er vermeidbaren Schaden von ihnen abwendet. Denn diese Spam ist gefährlich.

Sehr geehrter Passagier

Hui, ein neues Ausstellungsstück für meine Galerie sinnloser, unpersönlicher Anreden aus Spammails. Natürlich würde jede echte geschäftliche Mail mit persönlicher Ansprache kommen.

anbei erhalten Sie Ihr elektronisches Ticket. Dies ist die Bestatigung der Fluggesellschaft, dass fur Sie ein Flugticket ausgestellt wurde. Wir empfehlen Ihnen dieses auszudrucken und mit zum Abflughafen zu nehmen, da es wichtige Informationen enthalt. Sie erhalten keine weiteren Reisedokumente fur Ihren Flug. Sie konnen mit diesem Ausdruck und Ihrem gultigen Ausweisdokument (Reisepass oder Personalausweis, abhanging von Ihrem Reiseziel) einchecken. Wir mochten Sie bitten, sich rechtzeitig uber die Visumsbestimmungen, des betreffenden Landes zu informieren. Fur den rechtzeitigen Erhalt eines Visums, sind Sie als Reisender selbst verantwortlich.

Das ist schon der Sinn dieser Spam: Dass Empfänger den Anhang öffnen. Dieser Anhang ist ein ZIP-Archiv, in dem sich eine ausführbare Datei für Microsoft Windows befindet, die von kriminellen und höchst asozialen Spammern zugestellt wurde. Mehr muss man dazu nicht sagen.

Wer die Datei im ZIP-Archiv mit einem unter Microsoft Windows laufenden Computer ausführt, hat danach einen Rechner anderer Leute vor sich und darf sich Gedanken darum machen, wie er sich den Rechner zurückholt. Ich bitte darum, derartige Fragen nicht in den Kommentaren zu diesem Eintrag zu stellen, und ich werde sie nicht mehr beantworten. Wer mit dem inhärent unsicheren Betriebssystem Microsoft Windows nicht klarkommt und sich nicht zu helfen weiß, wenn sein Rechner von der organisierten Internet-Kriminalität übernommen wird, hat eine Menge besserer und zudem kostenloser Alternativen zur Auswahl. Ich empfehle, beim fälligen Neuaufsetzen des Rechners einfach ein anderes Betriebssystem zu wählen. Zurzeit ist das der beste Schutz vor kriminellen Attacken.

So genannte „Antivirusprogramme“ verhindern die Attacke in vielen Fällen nicht, obwohl sie in ihrem ständigen Hintergrundbetrieb so viel Strom in erfreulich sinnlose Abwärme verwandeln. Zurzeit wird die Schadsoftware von der Mehrzahl der „Schutzprogramme“ nicht erkannt. Wer sich darauf verlässt, ist verlassen.

Da im Moment außerordentlich viel Schadsoftware in Mailanhängen versendet wird, kann ich es nicht oft genug sagen: Jeder Mailanhang in einer unerwarteten, nicht vorher abgesprochenen E-Mail stinkt. Der Ärger, den man haben kann und sehr oft auch haben wird, wenn man sich einen solchen Anhang anschauen will, wiegt das bisschen befriedigte Neugierde nicht auf. Bei Mails mit einem Anhang irgendwelcher geschäftlicher Dokumente, die unerwartet zugestellt werden und die vom Absender nicht digital signiert wurden, kann ich nur dazu raten, die E-Mail unbesehen zu löschen. Wer wirklich unerwartete Dokumente auf diesem Weg zusendet, ist sowieso ausgesprochen unseriös, und wer auf die digitale Signatur seiner geschäftlichen E-Mails als einziges und völlig kostenloses Mittel zur Sicherstellung des Absenders und des unveränderten Inhaltes verzichtet, sollte im Zeitalter der kriminellen Spam nicht mehr ernst genommen werden.

Au?erdem erhalten Sie 2 weitere Anlagen:

  • IATA Legal Notice: mit den wichtigsten Bedingungen der Luftfahrt;
  • Informationen fur Reisende: eine Zusammenfassung wichtiger Informationen fur Ihre Reise;

Die Anlagen konnen Sie mit dem Acrobat Reader offnen. Falls Sie diese Dokumente nicht offnen konnen, ist es moglich hier den Adobe Acrobat Reader gratis herunterzuladen.

Nein, eine EXE-Datei wird nicht im Acrobat Reader geöffnet, sondern von Microsoft Windows direkt als Programm ausgeführt.

Man beachte die Umlautprobleme der Spammer in einer HTML-Mail. Jeder aufgeweckte 12-jährige weiß, wie die HTML-Entities für Umlaute aussehen, nur zu den kriminellen Stümpern scheint diese technische Kleinigkeit noch nicht durchgedrungen zu sein. Der Text wurde offenbar aus der Website oder aus einer echten Mail übernommen, und beim anschließenden Konvertieren für das Spamskript sind die Pünktchen über den Vokalen und die ß-Kringelchen verloren gegangen. Das Ergebnis liest sich wie ein gut geschriebener Text, der von unfähigen Idioten zweitverwertet, in eine andere Codierung verwandelt, gekürzt und mit Fehlern angereichert wurde:

Fur alle Fluge [sic! Da soll sich jemand bei seinem eigentlichen Geschäftsgegenstand so lächerlich verschreiben!] gelten weltweit strenge Gepackbestimmungen. Informationen hierzu finden Sie auf der Website, [sic! Komma zuviel] der betreffenden Fluggesellschaft. Auch einige Flughafen informieren hieruber auf Ihrer Webseite [sic! Falscher Terminus, „Website“ wäre richtig]. Wir raten Ihnen, sich die betreffenden Informationen gut durchzulesen. Es gilt die folgenden Hinweise zu beachten:

Das Team von Flugladen.de wunschen Ihnen [sic!] eine gute Reise!
Wenn Sie noch weitere Fragen haben, wenden Sie sich bitte an unseren Kundenservice.
Mit freundlichem Gru?,
Flugladen.de

Da diese Spam vermutlich in einer sechsstelligen Menge in die wehrlosen Postfächer ging, sollte man heute den Kundendienst besser nicht anrufen – denn das tun gerade sehr viele, und die sind zum Teil sehr erbost. Dieser „Flugladen“ ist ein Ort, an dem ich heute nicht arbeiten möchte…

Wer dennoch da anruft oder anrufen muss – es gibt dort ja hoffentlich auch noch etwas Geschäft heute – sollte besser eine Extraportion Verständnis für die genervten Mitarbeiter mitbringen. 😉

Abt.: Zu doof zum Spammen

Donnerstag, 14. März 2013

Screenshot eines Ausschnitts einer unlesbaren Spam mit völlig zerschossener Zeichencodierung

Hey, Spammer,

wenn du zu doof zum Spammen bist, schließ dich doch bitte einfach ein und wirf den Schlüssel weg. Du kannst echt stolz auf dich sein, denn du hältst bis jetzt den diesjährigen Punkterekord der Bewertung durch SpamAssassin, und ich gehe davon aus, dass du nicht mehr überboten wirst. Denn so mies wie du machts keiner:

 
Content analysis details:   (139.9 points, 8.0 required)

pts  rule name              description
---- ---------------------- --------------------------------------------------
 3.0 RCVD_IN_PBL            RBL: Received via a relay in Spamhaus PBL
                            [118.166.194.136 listed in zen.spamhaus.org]
 3.5 BAYES_99               BODY: Bayesian spam probability is 99 to 100%
                            [score: 0.9997]
 1.5 MIME_BOUND_DD_DIGITS   Spam tool pattern in MIME boundary
 3.2 TVD_RCVD_IP4           TVD_RCVD_IP4
 1.9 TVD_RCVD_IP            TVD_RCVD_IP
 6.5 MSGID_YAHOO_CAPS       Message-ID has ALLCAPS@yahoo.com
 6.5 MSGID_SPAM_CAPS        Spam tool Message-Id: (caps variant)
 8.0 FROM_ILLEGAL_CHARS     From: has too many raw illegal characters
 6.5 SUBJ_ILLEGAL_CHARS     Subject: has too many raw illegal characters
 2.5 RCVD_NUMERIC_HELO      Received: contains an IP address used for HELO
 8.0 HEAD_ILLEGAL_CHARS     Headers have too many raw illegal characters
 0.5 UNPARSEABLE_RELAY      Informational: message has unparseable relay lines
 4.5 FORGED_YAHOO_RCVD      'From' yahoo.com does not match 'Received' headers
 8.5 HTML_IMAGE_RATIO_02    BODY: HTML has a low ratio of text to image area
 2.0 HTML_MESSAGE           BODY: HTML included in message
 2.5 MPART_ALT_DIFF         BODY: HTML and text parts are different
 3.8 TVD_SPACE_RATIO        BODY: TVD_SPACE_RATIO
 6.5 MIME_HTML_ONLY         BODY: Message only has text/html MIME parts
 8.7 HTML_IMAGE_ONLY_16     BODY: HTML: images with 1200-1600 bytes of words
 0.4 MIME_QP_LONG_LINE      RAW: Quoted-printable line longer than 76 chars
 1.7 RCVD_IN_SORBS_DUL      RBL: SORBS: sent directly from dynamic IP address
                            [118.166.194.136 listed in dnsbl.sorbs.net]
 1.0 SUBJECT_NEEDS_ENCODING SUBJECT_NEEDS_ENCODING
 0.1 RDNS_DYNAMIC           Delivered to trusted network by host with
                            dynamic-looking rDNS
 7.0 HTML_SHORT_LINK_IMG_3  HTML is very short with a linked image
 6.8 REPTO_QUOTE_YAHOO      Yahoo! doesn't do quoting like this
 7.0 FORGED_OUTLOOK_HTML    Outlook can't send HTML message only
 6.0 MIME_HTML_ONLY_MULTI   Multipart message only has text/html MIME parts
 6.0 MISSING_MIMEOLE        Message has X-MSMail-Priority, but no X-MimeOLE
 6.8 FORGED_MUA_OIMO        Forged mail pretending to be from MS Outlook IMO

Dafür kriegst du von mir die rostige Spammedaille am fadenscheinigen Band.

Geh sterben, Idiot!

Dein dich genießender
Nachtwächter

Wichtige Meldung: Ihr Konto ist gefährdet

Mittwoch, 13. März 2013

„Gefährdete Konten“ klingt fast so wie „Vom Aussterben bedrohte Tierarten“. :mrgreen:

Der gefälschte Absender der Mail ist info (punkt) asc (at) ing (strich) diba (punkt) de, und natürlich kommt diese Mail nicht von der Bank, sondern von einem kriminellen Phisher.

Sehr geehrter Kunde

Wir haben vor kurzem erkannt das bei ihrem ING-DiBa Konto ein Problem aufgetreten ist.

Wir haben keine Ahnung, wie sie heißen und nennen sie einfach Kunde. Vielleicht heißen sie ja so. Vor kurzem haben wir bei ihrem Konto, das bedauerlicherweise genau so wenig eine Nummer hat wie unsere Empfänger einen Namen haben, ein Problem festgestellt, zu dem wir auch nichts nähreres sagen können. Und weil unsere buchhalterischen Probleme bei Problemen mit dem Konto immer von Herrn und Frau Kunde behoben werden müssen, wollen wir sie mechanisch freundlich darum bitten, uns jede Menge Daten zu geben, die ihre Bank doch schon längst kennt. Weil…

Da bei ING-DiBa Sicherheit groЯgeschrieben wird und wir ihr Konto vor unbefugter Nutzung schьtzen

…wir nicht einmal wissen, wie man „groß“ schreibt; keine Ahnung haben, wie man mit einer russischen Tastatur diese lustigen deutschen Sonderzeichen in eine HTML-formatierte Mail bekommt und auch gerade keinen Dreizehnjährigen mit guten Computerkenntnissen zu Hand haben, der uns mal erklärt, was eine HTML-Entity ist. Solche technischen Grundlagen interessieren uns auch nicht weiter, schließlich wollen wir nur spammen.

Und unser Deutschbeauftragter ist auch gerade ins Wodka-Koma gefallen:

wollen haben wir ihnen eine E –Mail geschickt bitte laden sie das darin enthaltende
Formular und melden sie sich erneut an um
fortfahren zu kцnnen.

Gemeint ist hier der Anhang. Dieser ist eine HTML-Datei mit einem HTML-Formular, das seine Zieladresse hinter einem bisschen JavaScript versteckt, damit der rottige Domainname auch durch die Spamfilter flutscht. Natürlich ist es nicht die Domain der Bank, sondern silairazum (punkt) ru. Wegen dieses Tricks muss die HTML-Datei auch in einem Browser geöffnet werden, und aktiviertes JavaScript haben richtige Opfer sowieso.

Natürlich ist die Seite wie immer „liebevoll“ nachgebaut…

Screenshot der betrügerischen Seite aus dem Dateianhang

…also genau richtig, um Kunden von denjenigen Unternehmen zu überrumpeln, deren von Technik und Internetsicherheit völlig unbeleckte Kaufleute und sonstigen professionellen Lügner auf fälschbares Design setzen, aber auf fälschungssichere digital signierte E-Mail verzichten. Da freuen sich die Kunden dann auch, wenn sie stilecht zur Login-Seite eines Phishers die Warnung vor Phishing sehen können. 😈

Mit freundlichen GrьЯen
ING-DiBa Kundenbetreuung

Warum diese Mailanhänge?

Die Phishing-Spam mit angehängten HTML-Dateien ist zurzeit häufig. Früher wurde meist eine Mail mit einem Link verwendet, der dann zu einer nachgemachten Bankseite unter falscher Domain führte.

Der Grund, weshalb inzwischen Anhänge bevorzugt werden, ist die Sicherheitsfunktion der Browser. Alle heutigen Browser in ihren Werkseinstellungen überprüfen die Adresse einer Seite, bevor sie sie öffnen – und wenn diese Adresse in erkannten Spams verwendet wurde, warnen die Browser auffällig vor dem Phishing- und Betrugsvedacht. Für die Spammer bedeutet das: Selbst, wenn ausreichend viele Mails durch die Spamfilter hindurchkommen, schafft es diese zweite Sicherung nach der Spamfilterung, dass viele Empfänger gewarnt sind und nicht mehr ganz so leichtfertig Zugangsdaten in Formularen auf obskuren Domains eingeben.

Offenbar sorgt diese Sicherheitsmaßnahme für genügende „Gewinneinbrüche“ bei den Kriminellen, so dass sie andere Verfahren ausprobieren.

Der Anhang einer HTML-Datei ist aus Empfängersicht gegenüber dem Link allerdings absurd umständlich:

  1. Der Mailanhang muss lokal gespeichert werden.
  2. Dieser gespeicherte Anhang muss dann geöffnet werden.
  3. Dann erst können Zugangsdaten für einen angeblichen Login und weitere Daten, die der Bank längst bekannt sind (Anschrift, Geburtsdatum, etc.) eingegeben werden.

Dieses Verfahren sollte auch schlichteren Gemütern als vollständig unglaubwürdig auffallen, selbst wenn die Phishing-Spams einmal besser formuliert werden.

Grundsätzlich gilt: Banken versenden solche Mails nicht. Jede E-Mail einer Bank, in der die Empfänger dazu aufgefordert werden, Daten einzugeben, die der Bank längst bekannt sind, ist eine E-Mail von Betrügern. Und generell stinkt jeder Anhang in einer nicht digital signierten E-Mail, deren Absender beliebig gefälscht sein kann.

Close

⚠️ Kein Adblocker erkannt 🛑

Bitte installieren Sie so schnell wie möglich einen Adblocker für ihren Webbrowser! Sie schützen damit die Ihren Computer vor Schadsoftware, die über Malvertising verteilt wird, und Sie schützen sich selbst vor Ausspähung und intransparentem Datenhandel durch halbseiden bis grenzkriminell vorgehende Wirtschaftsunternehmen. Das ist Grund genug, einen Adblocker zu verwenden. Aber gleichzeitig machen Sie auch Ihre gesamte Interneterfahrung schöner, erfreulicher und schneller. Ich empfehle uBlock Origin.