Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.


Schlagwortarchiv „Anhang“

Antrag Nr: icb2355j

Freitag, 9. Juni 2023

Achtung! Nicht den Anhang öffnen! Es ist eine Spam. Der Anhang ist Schadsoftware für Microsoft Windows. 💀️

Von: Buchhaltung <contact@noorfes.com>
An: undisclosed-recipients: ;

Diese Mail geht an ganz viele Empfänger auf einmal. Schon bevor man hineinschaut, kann man erkennen, dass es sich um eine Spam handelt. Einen „Antrag“ sendet niemand in die halbe Welt. 😉️

Und dementsprechend unpersönlich ist auch der Text:

Gescannte Kopie der Zahlung

Vielen Dank für Ihr Vertrauen in unser Unternehmen.

Mit freundlichen Grüßen

Man braucht nicht viel lebenspraktische Intelligenz, um nach „Genuss“ dieser drei Zeilen die vielen Schwächen im Text wahrzunehmen:

  1. Es gibt keine Anrede.
  2. Es gibt keine Angaben über die angebliche „Zahlung“. Weder erfährt man einen Kontext, noch eine Höhe, noch eine Buchungsnummer, noch irgendwas.
  3. „Unser Unternehmen“ würde in einer echten Mail nicht darauf verzichten, seine Firmierung zu nennen, selbst wenn das Ergebnis sprachlich ein bisschen gekünstelt klänge.
  4. Unter der Grußformel fehlt ein Name. In der Regel stünde dort auch eine Telefonnummer für schnelle Rückfragen.
  5. Das für gewerbliche E-Mail obligatorische Impressum unter einer E-Mail ist nicht einfach nur unvollständig (was häufiger mal vorkommt), sondern fehlt völlig.

Kein Unternehmen, das an seinen Kunden hängt, würde so eine Mail schreiben. Na gut, der Azubi ist manchmal etwas unbeholfen, und irgendwann machen wir alle ein Ding zum ersten Mal und… ähm… dann auch mal nicht so gut, das ist schon wahr. Aber selbst der Azubi hätte bereits in einem mittelständischen Unternehmen eine Mailvorlage, in der die wichtigsten Dinge bereits enthalten sind, insbesondere das Impressum und ein grundlegendes Gerüst für eine Mail. Niemand tippt solche Dinge immer wieder von Hand, wenn es auch die Maschine kann. 🤖️

Und dass der Azubi so „unbeholfen“ sein sollte, dass er diese obligatorischen Angaben einfach gelöscht hätte, ist doch ein bisschen unwahrscheinlich. 🙃️

Der Text ist ja auch nur ein Köder. 🎣️

An der Mail hängt eine Datei scansa461.zip, die es in sich hat:

$ 7z l scansa461.zip

7-Zip [64] 16.02 : Copyright (c) 1999-2016 Igor Pavlov : 2016-05-21
p7zip Version 16.02 (locale=de_DE.UTF-8,Utf16=on,HugeFiles=on,64 bits,4 CPUs Intel(R) Core(TM) i5-4590 CPU @ 3.30GHz (306C3),ASM,AES-NI)

Scanning the drive for archives:
1 file, 18318 bytes (18 KiB)

Listing archive: scansa461.zip

–
Path = scansa461.zip
Type = zip
Physical Size = 18318

   Date      Time    Attr         Size   Compressed  Name
——————- —– ———— ————  ————————
2023-06-09 08:11:22 ….A        49515        18160  scansa461.js
——————- —– ———— ————  ————————
2023-06-09 08:11:22              49515        18160  1 files
$ _

Ein ZIP-Archiv mit einer einzigen Datei, hier ein unter Microsoft Windows bei Doppelklick im Windows Script Host ausgeführtes Programm, ist immer gefährlich. Selbst, wenn so etwas an einer Mail hängt, die nicht fünf Meilen gegen den Wind nach der Spam von Kriminellen stinkt. Es handelt sich definitiv nicht um eine Rechnung, einen Antrag, eine Zahlung oder etwas Interessantes, sondern um ein Programm, das mit einer irreführenden E-Mail zugestellt wurde. Ein Doppelklick führt Software eines kriminellen Spammers aus. Auf dem Schreibtisch steht hinterher der Computer anderer Leute. Die Komprimierung soll eine Analyse durch Antivirusprogramme auf Seiten des Mailservers erschweren, und das funktioniert manchmal sogar. Wenn solche Anhänge auch im Jahr 2023 immer noch ohne vorherige Rückfrage beim Absender auf Empfängerseite doppelt geklickt werden, kann ich nur sagen: Dettelbach ist überall. ⚠️

$ 7z x scansa461.zip 

7-Zip [64] 16.02 : Copyright (c) 1999-2016 Igor Pavlov : 2016-05-21
p7zip Version 16.02 (locale=de_DE.UTF-8,Utf16=on,HugeFiles=on,64 bits,4 CPUs Intel(R) Core(TM) i5-4590 CPU @ 3.30GHz (306C3),ASM,AES-NI)

Scanning the drive for archives:
1 file, 18318 bytes (18 KiB)

Extracting archive: scansa461.zip
--
Path = scansa461.zip
Type = zip
Physical Size = 18318

Everything is Ok

Size:       49515
Compressed: 18318
$ file scansa461.js 
scansa461.js: ASCII text, with very long lines (49515), with no line terminators
$ cat scansa461.js | fold | sed 10q
var _0×4fa920=_0×41f3,_0×43fda2=_0×41f3,_0×537da8=_0×41f3,_0×5a242d=_0×41f3,_0×4
e77b9=_0×41f3,_0×257957=_0×41f3,_0×549c01=_0×41f3,_0×85e570=_0×41f3,_0×3b4543=_0
x41f3,_0×284e8a=_0×41f3,_0×3fe075=_0×41f3,_0×48dc30=_0×41f3,_0×1500a4=_0×41f3,_0
x465d99=_0×41f3,_0×373b4f=_0×41f3;function uniqueDecodeBase64(_0×131dca){var _0x
e5b8fe={_0×328141:'0×1ee',_0×5e139b:'0×1ef',_0×56b09c:'O4%k',_0×23b928:'0×1f0',_
0×1bb264:'Ke@A',_0×2f1565:'0×1f1',_0×4dfae9:'AdN8',_0×2f1b02:'0×1f2',_0×2cff74:'
i8pV',_0×3a957f:'0×1f3',_0×5e7964:'(^o5',_0xb4f799:'0×1f5',_0xd723f9:'0×1f6',_0x
346716:'0×1f7',_0×20ddcf:'dG5h',_0×58429d:'0×1f8',_0×38bcfa:'Ke@A',_0×1ef32d:'0x
1f9',_0×345937:'vA1Y',_0×1ac436:')tzE',_0×2eb532:'0×1fb',_0xca5079:'gr(R',_0×29f
4cb:'XZ^$',_0×182369:'0×1fd',_0×34d0a1:'c$l&',_0×262eed:'0×1fe',_0×1076d7:'yGBg'
$ _

Natürlich haben sich die Spammer alle Mühe gegeben, den angehängten Programmcode so unlesbar und kryptisch wie nur irgend möglich zu machen, um Analysen zu erschweren. Die Schadsoftware ist eine relativ neue Brut der Kriminellen, die zurzeit nur von rd. einem Fünftel der gängigen Antivirusprogramme als Schadsoftware erkannt wird. Wer sich auf sein Antivirusprogramm verlässt, ist also in vielen Fällen verlassen… wie leider so oft. 😕️

Wer hingegen so eine Spam als Spam erkennt und sofort löscht; wer niemals den Anhang einer E-Mail öffnet, ohne sich vorher über einen anderen Kanal als E-Mail zu vergewissern, dass dieser wirklich von einem vertrauenswürdigen Absender stammt oder wer digitale Signaturen in seiner gesamten Kommunikation verwendet und die Signaturen auch überprüft, ist vor solchen recht primitiven Angriffen sicher. Wie ich zu meinem Missfallen in den letzten Monaten immer wieder gelesen habe, sind viele Unternehmen und Institutionen nicht vor solchen Angriffen sicher, und dann gibt es wieder „Cyber Cyber“ in den Nachrichten, begleitet von den technisch völlig inkompetenten, wie heilloses Gehampel wirkenden Kommentaren aus Politik und Journalismus… ☹️

Dann gibt es eine Portion „digital first, Hochdruck second“. 😲️

Oft begleitet von einem großen Schaden. Wenn eine Privatperson ihre gesamten Daten verschlüsselt bekommt und von einem Erpresser zum Bezahlen aufgefordert wird, kann das schon schlimm sein. Ich habe schon erwachsene Menschen weinen sehen, als sie auf diese Weise ein 180seitiges Dokument verloren haben und nicht verstehen konnten, dass ich empfehle, trotzdem niemals Geld an Kriminelle zu zahlen, zumal man auch gar nicht weiß, ob man wirklich seine Dateien zurückbekommt. Selbst, wenn es nicht ganz so übel läuft, dass die Masterarbeit verschwunden ist und „nur“ fünfzehn Jahre Fotos, Videos und „Zeug“ verloren gehen, ist das sehr schlimm¹. Ein Unternehmen steht nach einem solchen Angriff am Rande der Insolvenz, wenn sich die (beliebig nachladbare) Schadsoftware wurmartig durchs gesamte Netzwerk des Unternehmens vorarbeitet – von den zusätzlichen Problemen, die dadurch entstehen, dass empfindliche Kundendaten in die Hände schwer krimineller Zeitgenossen fallen, will ich gar nicht erst anfangen. 🤬️

Lasst es nicht dazu kommen! Öffnet niemals einen Anhang einer E-Mail, ohne vorher über einen anderen Kanal als E-Mail rückzufragen, ob der scheinbare Absender – die Absenderangabe einer Mail kann beliebig gefälscht werden – auch der wirkliche Absender ist und ob er diese Mail wirklich versendet hat. Und wenn man gar nicht weiß, wer der Absender ist: Ab in den Müll damit! 🗑️

Aber auch, wenn man wirklich jeden Tag Mails von Unbekannten öffnen muss – etwa Bestellungen, Bewerbungen, Beschwerden von Kunden – gibt es eine einfache Lösung, die ohne Kosten und sofort zu einem erheblichen Zugewinn an Sicherheit führt: Verwendet an solchen Arbeitsplätzen ein anderes Betrübssystem als Microsoft Windows²! Zurzeit richtet sich jeder allgemeine kriminelle Angriff dieser Art gegen Microsoft Windows, weil es nicht nur sehr verbreitet, sondern auch ein „einfaches Ziel“ ist. Gute und für „normale Anwender“ geeignete Mailsoftware gibt es für jedes gegenwärtige Betriebssystem. Auf anderen Betriebssystemen ist es aber nicht ganz so einfach, jemanden eine Datei unterzuschieben, die beim Öffnen den Programmcode von Dritten ausführt, weil die Ausführbarkeit nicht am Dateinamen erkannt wird, sondern an einem Attribut, das im Dateisystem hinterlegt ist und das aktiv vom Anwender gesetzt werden müsste. Natürlich gibt es dann immer noch Probleme mit Makros in Office-Dokumenten, aber da wird ja eine Warnung präsentiert, bevor die Makros geöffnet werden. Und außerdem setzt zurzeit beinahe jede derartige Schadsoftware Microsoft Windows voraus. Die Verwendung eines anderen Betrübssystemes ist ein viel zuverlässigerer Schutz als jedes Antivirusprogramm. 💡️

¹Sichert eure Daten, wenn sie euch etwas bedeuten! Datenträger sind nicht teuer. Software für eine Datensicherung gibt es frei und kostenlos – und natürlich auch oft in einer Form, die auch von „normalen Menschen“ bedient werden kann. Also sichert eure Daten, wenn sie euch etwas bedeuten! Das hilft übrigens nicht nur gegen Kriminelle, sondern auch gegen technische Defekte…

²Es muss übrigens nicht immer Linux sein, auch FreeBSD ist sehr gut, ausgereift und noch etwas robuster gegen Angriffe.

Herzliche Glückwünsche

Freitag, 29. Juli 2022

Von: EUROONLINELOTTODENAVIDAD <test@impulsetrade.com>
Antwort an: pacoantonioseguros2022@gmail.com
An: gammelfleisch@tamagothi.de

Aha, die Weihnachtslotterie! Es sind ja auch nur noch 149 Tage. 🎄️

So schade, dass diese Weihnachtsmänner immer ihre Absenderadresse fälschen und eine kostenlos und anonym eingerichtete Antwortadresse beim dicksten Freund des Vorschussbetrügers, bei GMail, eintragen. 🎅️

Der Text der E-Mail ist einfach nur eine Wiederholung dessen, was im angehängten PDF-Dokument steht, und weil das Dokument viel „schöner“ formatiert ist, zeige ich einfach nur dieses Dokument. Natürlich habe ich dieses Meisterwerk eines aus völlig nachvollziehbaren Gründen völlig unbekannten Künstlers auch in einer lesefreundlichen 200-dpi-Version, wenn das großartige Layout Appetit auf eine eingehende Lektüre macht. 😎️

Avenida de Victoria 10 28045 Madrid Spanien. -- Tel: +34-691-304-764/Fax +34-919-014-045 -- Referenznummer: SP/7211/075/SE -- Batch Number: LTO/2021-004 /ESP -- OFFIZIELLE GEWINNMELDUNG -- 25. Juli,2022 -- ATTN: Sehr geehrter Begünstigter, -- Wir freuen uns, Ihnen über das Ergebnis der soeben abgeschlossenen Ziehungen des Sommerjackpots der Internationalen Lotteriekommission mitteilen zu können, dass Ihr Name unter den 10 glücklichen Gewinnern war, die jeweils €1.250.000,00 (eine Million zweihundertfünfzigtausend Euro) gewonnen haben die Sommerziehung der Internationalen Lotteriekommission, die am Montag, den 22 Dec 2021 stattfindet. Ihr Name ist an die Losnummer: 72119, Seriennummer: 2113-06, Referenznummer: SP/7211/075/SE, Glücksnummer: 4 . angehängt -13-21-27-36-38, Bonusball (45), der in dieser 2. Kategorie gewonnen hat, gesponsert von Apple Inc., Coca-Cola, Walmart, Microsoft, IKEA, McDonald's, General Motors, General Electric, MercedesBenz, Samsung, Sony, VISA, MasterCard, Verizon, Sprint und andere multinationale Unternehmen. Somit wurde Ihnen ein Pauschalbetrag von €1.250.000,00 (eine Million zweihundertfünfzigtausend Euro) genehmigt. -- GLÜCKWUNSCH! GLÜCKWUNSCH!! GLÜCKWUNSCH!!! -- Alle Gewinner wurden durch eine zufällige Auswahl von Namen aus einer exklusiven Liste von 9600 Personen durch eine vertrauenswürdige computergestützte Namensauswahl aus einer Datenbank mit Adressen aus Europa, Amerika, Asien, Afrika und Australien ausgewählt und Ihr Name ist unter den 10 glücklichen Gewinnern. Beachten Sie, dass in dieser dritten Kategorie keine Tickets verkauft wurden, aber alle Adressen verschiedenen Stimmzettel-Seriennummern zugeordnet waren, die Ihnen schließlich das Preisgeld ei nbrachten. Ihr Preisgeld wurde bei unserer International Accredited Security Company (BANCO CAPITAL PRIVADO S.A) in Spanien hinterlegt und ordnungsgemäß auf Ihren Namen versichert. Um Komplikationen zu vermeiden, halten Sie bitte alle Details zu Ihrem Preisgeld geheim. Um den Anspruchsprozess einzuleiten, wenden Sie sich bitte an den Internationaler Anspruchsagent: DR. ANTONIO PACO,vonSEGUROS EUROSEC S.A. Tele +34 691-304-764, E-Mail: pacoantonioseguros2022@gmail.com für die Bearbeitung und Auszahlung Ihrer Gewinne. Bitte denken Sie daran, dass alle Forderungen am oder vor dem 30/08/2022 registriert werden müssen. Alle nicht beanspruchten Gewinne gehen an die Staatskasse zurück. Bitte beachten Sie auch, dass Sie nach Erhalt der Gewinne 0,1% Ihres Lottogewinns an eine Wohltätigkeitsorganisation Ihrer Wahl zahlen müssen. -- WICHTIG: Um Verzögerungen und Komplikationen zu vermeiden, bitten wir Sie, Ihr Ticket und Ihre Referenznummer anzugeben, wenn Sie Ihren Treuhänder kontaktieren, und Sie müssen jede Änderung Ihrer persönlichen Daten so schnell wie möglich mitteilen. Bitte füllen Sie das offizielle Antragsbearbeitungsformular aus und senden Sie es zurück, damit Ihr Treuhänder weitere Schritte zur Bearbeitung und Freigabe Ihres gewonnenen Geldes unternehmen kann. E-Mail: pacoantonioseguros2022@gmail.com -- DON LUIS ALBERTO -- (GENERALSEKRETÄR, INTERNATIONALE LOTTOKOMMISSION) -- BITTE FÜLLEN SIE DIESES FORMULAR AUS UND SENDEN SIE DIE VOLLSTÄNDIGE KOPIE AN UNSERE OBEN E-MAIL ZURÜCK -- VORNAME: --  NACHNAME: -- GEBURTSDATUM: -- TELEFON-NR.: --  HANDY: --  FAX: -- GEWINNSUMME: --STRASSENNAME: -- HAUSNUMMER: --POSTLEITZAH: --  STADT: -- LAND: -- REFERENZNUMMER: --BATCH NUMBER: --  E-MAIL: -- UNTERZEICHNUNG DES BEGÜNSTIGTEN -- DATUM --

Wer sich angesichts dieses aus anderen Betrugsmails zusammengestückelten Textes die Frage stellt: Ja, diese „Lottozahlen“ wurden auch schon in den Jahren von 2015 bis 2016 gezogen, und im Jahr 2015 sah das entsprechende PDF so aus… 😂️

Und es wird sogar noch lustiger. Hier ein Detail aus dem heutigen PDF:

Detail der gezogenen Nummern

Und hier ein Detail aus einem sieben Jahre alten PDF:

Detail der gezogenen Nummern

Dass die Grafik mit den lustigen, bunten Zahlenkugeln identisch ist, sieht man durch bloßes Hinschauen. Ich hätte es ja verstanden, dass ein Spammer eine gute, gelungene Grafik aus einer anderen Spam übernimmt, aber dass dieses schäbig hingeklatschte Elaborat eines unfähigen Stümpers „geklaut“ wurde, offenbart, dass unser heutiger Spammer weder über Können noch über Geschmack verfügt. Da sind ja nicht einmal die Kugeln gleichmäßig skaliert! 🤣️

Aber wenn so ein Spammer sich Mühe geben wollte, könnte er ja auch gleich arbeiten gehen… 🛠️

Zu Händen des Begünstigten

Samstag, 25. Juni 2022

Oh, ein Qualitätsbetreff! 🏆️

Von: Mr. Tony Elumelu <heidrunheinrich13@gmail.com>
Antwort an: www.info.ubabankcard.TG@gmail.com
An: undisclosed-recipients: ;

Oh, Qualitätsheader! 🥇️

Der Absender ist gefälscht, die Antwortadresse wurde kostenlos und anonym bei GMail eingerichtet, dem dicksten Freund des Spammers und Betrügers und diese Spam geht an ganz viele Empfänger auf einmal. So etwas wird bei mir aussortiert und landet in der Schüssel für Sieger. 🚽️

Na, was erwarte ich jetzt? Richtig, ich erwarte eine lächerliche Mail zur Einleitung eines Vorschussbetruges. 😩️

Aber diese Mail hat gar keinen Text. 🕳️

Ich war schon dabei, diese Spam zu löschen, als ich bemerkte, dass sie ja noch einen Anhang hat:

$ ls -lh *.doc
-rw-rw-r-- 1 elias elias 29K Jun 25 13:46 'Zu Händen des Begünstigten.doc'
$ file Zu\ Händen\ des\ Begünstigten.doc | sed 's/,/\n/g' | sed 's/^[[:space:]]*//g'
Zu Händen des Begünstigten.doc: Composite Document File V2 Document
Little Endian
Os: Windows
Version 6.1
Code page: 1252
Author: BIG MAN
Template: Normal
Last Saved By: BIG MAN
Revision Number: 1
Name of Creating Application: Microsoft Office Word
Total Editing Time: 02:00
Create Time/Date: Fri Jun 24 15:28:00 2022
Last Saved Time/Date: Fri Jun 24 15:30:00 2022
Number of Pages: 1
Number of Words: 451
Number of Characters: 2577
Security: 0
$ _

Hui, 451 Wörter von „Big Man“. 😎️

Warum der seinen Text nicht in die Mail schreibt? Warum der lieber ein Office-Dokument anhängt, das hoffentlich kein vernunftbegabter Mensch mehr aufmacht, weil es einfach nur gefährlich ist? Warum der 451 Wörter in zwei Minuten raustippen kann, also im Schnitt 3,76 Wörter pro Sekunde? Wer ihm damals die Schaukel viel zu nahe an der Wand montiert hat? Alles Fragen, die ich auch nicht beantworten kann. 🤔️

⚠️ Ich kann nur warnen: Dettelbach ist überall! Niemals ein Office-Dokument öffnen, das unverlangt oder von einem Unbekannten mit einer E-Mail versendet wurde. Office-Dokumente für Microsoft Office können Makros enthalten. Das sind Programme, die der Autor des Dokumentes hinterlegt hat. Diese Programme können alles, was eine EXE kann. Sie können ausgeführt werden, wenn man das Dokument öffnet. Ein Großteil der heutigen Schadsoftware wird über Office-Makros verbreitet. Ich weiß auch nicht, wer den Entscheidern bei Microsoft ins Gehirn geschissen hat, als sie die Entscheidung getroffen haben, in jedem Dokument einen schön eingerichteten Platz vorzusehen, in dem ein Krimineller eine Bombe legen kann, aber sie haben diese Entscheidung getroffen, und wir müssen alle damit leben. Deshalb öffnet man derartige Dokumente nicht, wenn man sich nicht davon überzeugt hat (im Zweifelsfall durch ein Telefongespräch, denn der Absender einer nicht digital signierten E-Mail kann beliebig gefälscht sein), dass sie aus einer vertrauenswürdigen Quelle kommen. Und man öffnet sie erst recht nicht im Falle einer solchen klaren Spam. 💣️

Dann kann man auch nicht durch weitere Überrumpelungsversuche dazu gebracht werden, dass man die Sicherheitsfunktionen seines Microsoft Office abschaltet, falls sie überhaupt noch eingeschaltet sind.

Wer mir das nicht glauben will, wende sich doch an die Polizei. Aber keine unabgesprochen oder von Unbekannten zugesandten Office-Dateien im Mailanhang aufmachen! Das wäre dümmer, als die Polizei erlaubt. 👮️

Ich habe mir diesen Anhang etwas genauer angeschaut und habe ihn anschließend in LibreOffice geöffnet – und natürlich habe ich hier kein Windows, das Lieblingsbetrübssystem der Kriminellen. Das Dokument enthält keine Makros. Es wurde einfach nur ein Word-Dokument genommen, damit der Spammer sein Dokument schön formatieren konnte. 👨‍🎨️

Und weia, hat der Vorschussbetrüger dieses Dokument schön formatiert! 🎨️

Es sieht so aus:

Zu Händen des Begünstigten, Diese E-Mail-Benachrichtigung erhalten Sie direkt vom Team des Büros des Ausschusses für Betrugsbekämpfung der Afrikanischen Union (AU) Republik Togo in Zusammenarbeit mit der Dienststelle der Vereinten Nationen (UN) Lome-Togo, Besoldungsgruppe P-4 Anzahl der Post-AF / RP/RDBCPN/SHS/0001.in Bezug auf die umfangreiche Razzia (Verhaftungen) von Internetbetrügern. Aufgrund der hohen Anzahl von Beschwerden, die wir von den Vereinten Nationen (UN) auf der Ebene von Betrügern / Betrügern mit afrikanischer Nationalität erhalten haben. Alle Internet Service Provider hatten die Zunahme des E-Mail-Verkehrs von Afrika zu anderen Kontinenten festgestellt. -- Bei dieser Razzia wurden bisher dreihundertsechs (306) Betrüger festgenommen, und die Razzia dauert noch an. Wir haben die volle Summe von 857 Millionen Dollar wiedererlangt, sowohl in bar als auch in Vermögenswerten, die nachweislich von seinen Opfern stammen. Wir haben die E-Mail-Adressen von Hunderttausenden von Opfern aus ihren Adressbüchern gefunden. Zu diesem Zeitpunkt kontaktieren wir Sie. -- Wir haben mehrmals erfolglos versucht, Sie zu kontaktieren, daher senden wir Ihnen diese Erinnerung ein letztes Mal, wonach die Entschädigungskommission der Vereinten Nationen keine andere Wahl haben wird, als Ihre Entschädigungssumme in Höhe von 750.000,00 $ abzuschreiben und zu vermerken. als unbeansprucht, daher antworten Sie bitte umgehend auf dieses Schreiben, um Ihre Position in dieser Angelegenheit zu klären, bevor es zu spät ist, handeln Sie schnell und befolgen Sie die Anweisungen zu Ihrem eigenen Wohl. Weitere Einzelheiten erhalten Sie, wenn Sie sich an die United Bank of Africa Lome, Togo, wenden -- „Und heute teilen wir Ihnen mit, dass Ihr Geld von der UBA Bank auf eine VISA-Karte gutgeschrieben wurde und auch zur Auslieferung bereit ist. -- Kontaktieren Sie jetzt den Generaldirektor der Banco UBA -- Name: Mr. Tony Elumelu -- E-Mail-Adresse: www.info.ubabankcard.TG@gmail.com .. Seine Einzelheiten wurden von einem der Syndikate erwähnt, das als eines ihrer Opfer der Operationen festgenommen wurde. Sie werden hiermit gewarnt, diese Nachricht aus keinem Grund an sie zu übermitteln oder zu duplizieren, da unser US-Geheimdienstagent bereits die anderen Kriminellen verfolgt. -- Senden Sie die folgenden Informationen für die Lieferung Ihrer akkreditierten VISAGeldautomatenkarte an Ihre Adresse. -- Ihr vollständiger Name, Ihr Herkunftsland, Ihre Adresse, E-Mail-Adresse, Ihre Telefonnummer, Ihr Alter, Ihr Geschlecht, Ihr Beruf -- Hinweis: Bitte melden Sie sich daher noch heute umgehend bei mir, damit wir alle erforderlichen Prozesse und Protokolle für die Freigabe Ihres Entschädigungsfonds sofort einleiten können. -- Grüße, -- Teambüro des Ausschusses für Betrugsbekämpfung der Afrikanischen Union (AU) -- Zweigstelle Republik Togo

🤣️👏️👍️🤩️‼️

Für Spamgenießer aus der Gourmet-Klasse habe ich auch ein gefahrlos zu öffnendes PDF-Dokument, auf dem die ganze Genialität und Überzeugungskraft dieses Anhanges so sichtbar wird, als hätte man das Original geöffnet. 📜️

Ich muss mich jetzt erstmal von meinen Lachschmerzen erholen. 😉️

Your PayPal account was temporary limited on: March 10, 2022 8:27 AM

Samstag, 12. März 2022

Wollt ihr nicht auch noch die Sekunden angeben?! 😁️

Dear Customer

Genau mein Name! 👏️

Your account was temporary limited, please view the attached document (PDF)

Leider hatte „PayPal“ nicht mehr genug Mailpapier herumliegen und konnte deshalb nicht in die Mail reinschreiben, um was es eigentlich in der Mail geht! Deshalb soll man klicki-klicki in eine E-Mail machen, um einen Anhang zu öffnen. Das ist immer eine ganz dumme Idee. 🚫️🖱️

Es gibt einen hundertprozentig wirksamen Schutz vor Phishing, der immer noch häufigsten Kriminalitätsform im Internet: Niemals in eine E-Mail klicken. Wenn man sich für Websites wie PayPal einfach ein Lesezeichen im Webbrowser anlegt, die Website über dieses Lesezeichen aufruft, sich dort ganz normal anmeldet und nach der Anmeldung bemerkt, dass das in der Spam behauptete Problem gar nicht existiert, hat man einen dieser gefürchteten Cyberangriffe abgewehrt. 🛡️

So einfach geht das. 👍️

Der Anhang ist…

$ file StatementX-PPL52684.pdf 
StatementX-PPL52684.pdf: PDF document, version 1.4
$ pdfinfo StatementX-PPL52684.pdf 
Creator:        Chromium
Producer:       Skia/PDF m99
CreationDate:   Thu Mar 10 17:07:49 2022 CET
ModDate:        Thu Mar 10 17:07:49 2022 CET
Tagged:         yes
UserProperties: no
Suspects:       no
Form:           none
JavaScript:     no
Pages:          1
Encrypted:      no
Page size:      1024.08 x 726 pts
Page rot:       0
File size:      47121 bytes
Optimized:      no
PDF version:    1.4
$ pdftotext StatementX-PPL52684.pdf -
Dear Customer,
Your PayPal account has been temporarily Limited. We have found suspicious activity on
credit cards linked to your PayPal account.
What's going on?
To continue using your account again, we advise you to update the infomation before 24
hours or your account will be Permanently limited.
To start using your account as usual again, please log in and follow the steps shown. This
will help us secure your account.
Login To Verify
Questions?
If you still have questions, please choose Contact at the bottom of any PayPal page to
reach Customer Service.
Sincerely,
PayPal

Copyright © 1999-2020 PayPal, Inc. All rights reserved. PayPal is located at 2211 N. First St., San Jose, CA 95131.
PayPal PPC002342:1.11:6889186f769ff

$ _

…ein PDF-Dokument, in dem ein ganz normaler, banaler Phishing-Text steht. Wer in diesem Anhang auf das Klickeknöpfchen Login to Verify klickt, landet natürlich nicht bei Paypal, sondern auf einer „liebevoll“ nachgemachten Paypal-Seite. Sämtliche Eingaben, die man dort macht, gehen direkt an Kriminelle, die dann das Konto und die Kreditkarte (die Kreditkartendaten werden routinemäßig mit abgefragt) für Betrugsgeschäfte übernehmen. Den Schaden und oft mehrjährigen Ärger hat der Mensch, der auf dieses Phishing hereingefallen ist. ☹️

Deshalb klickt man nicht in eine E-Mail. 🚫️🖱️

Und auch nicht in den Anhang einer E-Mail. Aber dafür hätte man ja schon vorher in die E-Mail klicken müssen, und das macht man nicht. 🚫️🖱️

Ansonsten ist die einzige Neuerung bei diesem PDF, dass es im Querformat kommt. Wieso der Spammer das für eine gute Idee hält, weiß ich nicht. Ich vermute aber, dass der Spammer es selbst nicht weiß. 😁️

Diese Phishing-Spam ist ein Zustecksel meines Lesers A. H.

VIEL GLÜCK, VIEL SPASS

Mittwoch, 2. Februar 2022

Huch, wie ist der Müll durch die Spamfilterung gekommen? 🤔️

Von: EUROPÄISCHE ANSPRÜCHE <support@schuetzen-wechmar.de>

Das können keine besonders hohen Ansprüche sein. 😃️

Antwort an: drdanielaragons@gmail.com

Der Klassiker: Eine kostenlos und anonym eingerichtete Mailadresse bei GMail, dem dicksten Freund des Spammers und Kriminellen, für die Antwort. Und die Absenderadresse ist natürlich gefälscht. Opfer dieses Betrügers sollen das entweder nicht bemerken oder ganz fest daran glauben, dass dann wenigstens der Rest keine Lüge ist. 🤥️

An: gammelfleisch@tamagothi.de

Im Töpfchen für Sieger! 🚽️

Sehr Geehrter Gewinner

Genau mein Name! 👏️

Wir wurden beauftragt, Ihnen zu helfen Ihr Gewinn zu beanspruche in der letzten Sitzung der European Elgordo Lottery 2021/22. Ihre Informationen wurden aus einer Online-Umfrage und Zahlungssystemen ausgewählt.

Bei normalen Lotterien kauft man ja für teuer Geld ein Los, und ein Teil der gesamten Kaufsumme wird anschließend als Gewinn ausgeschüttet. Der andere Teil landet in der Verwaltung und beim Staat, damit der Staat besser Hauptstadtflughäfen, Elbphilharmonien und tiefergelegte Bahnhöfe zum Preis eines Weltraumteleskopes bauen kann. Es handelt sich um eine Form der freiwillig gezahlten Steuer¹. Der Kauf eines Lotterieloses ist ungefähr so „intelligent“ wie der Tausch eines Hundert-Euro-Scheines gegen einen Fünfzig-Euro-Schein… und deshalb wird in der Reklame für diese Lotterien lieber von Gewinnmöglichkeiten als von der Dummheit gesprochen. Denn wer dumm ist, hält das Wahrnehmen von Gewinnmöglichkeiten für schlau. 🙃️

Dummheit war schon immer ein gutes Geschäftsmodell. Nicht erst seit Erfindung des Internet. Denn die Mutter der Dummen ist stets schwanger. 🤰️

Die Lotterien der Vorschussbetrugsspammer aus dem täglichen Posteingang müssen sich nicht finanzieren. Der ausgeschüttete Gewinn wird vom Weihnachtsmann vorbeigebracht. Niemand muss ein Los kaufen. Auch ich werde ziemlich regelmäßig Millionär. 🎅️

Aus Tausenden von E-Mails und Namen erhalten von den internationalen Umfrage und Zahlungssystemen, um Teilnahme an der Europäischen Online Elgordo Lotterie 2019/2020, Sie ein Gewinner in der Zweiter Kategorie sind mit Gewinnnummer (86148), gezogen am Mittwochs, 22. Dezember 2020, – Gewinnen betrag €4.000.000,00

Aber was haben die Daten aus Online-Umfragen (an denen ich nicht teilnehme) und Zahlungssystemen (die einem ganz besonderen Datenschutz unterliegen) jetzt mit irgendwelchen Gewinnnummern zu tun? Man muss keine besonders tiefen Gedanken denken, um so eine typische Story zur Einleitung eines Vorschussbetruges völlig absurd zu finden. 🤭️

Um Ihren Gewinn zu sehen, gehen Sie zu – www.elgordo.com. Klicken Sie auf (Result ) Ergebnisse
Dann finde und klicke auf elGordo ausgelost am Mittwochs 22. Dezember 2021

Aber da stehen nur Zahlen, nicht meine Mailadresse. 🤦‍♂️️

Aber dafür kann ich auf der verlinkten Website etwas ganz anderes lesen [Archivversion, noch eine Archivversion], wenn ich dort ein bisschen länger suche. Das sollte jeder einmal gelesen haben, der an den Gewinn in einer Lotterie glaubt, bei der er kein Los gekauft hat. 👍️

Unten ist die Information von der geprüfte und zugewiesene Rechtsanwalts/Ansprüche Agent die Sie müssen kontaktieren, um Ihnen zu helfen, Ihr Geld zu verarbeiten, das in Ihrem Namen bei der lotteriezahlenden Bank hinterlegt ist und jetzt zur Auszahlung bereit ist.

Agent name: Herr Daniel Lucia Aragon
Tel : 34 677 114 ■■■, Fax: 34 910 612 ■■■, Email: drdanielaragons@gmail.com

Rechtsanwalt / Agent Weblink: www.unabogado.es

Ich soll also allen Ernstes mit unverschlüsselter E-Mail, die offen wie eine Postkarte durch das Internet befördert wird und auf dem ganzen Weg beliebig und völlig unentdeckbar gelesen und verändert werden kann, die Modalitäten einer Auszahlung von vier Megaeuro abkaspern? Auf einer kostenlos und anonym eingerichteten Freemailer-Adresse, weil der werte Herr „Anwalt“ leider die paar (steuerlich absetzbaren) Groschen für eine eigene Domain und einen eigenen Mailserver nicht übrig hatte? Das wäre aber ganz schön doof, wenn mir deshalb jemand anders das Geld wegschnappte. 💸️

Man sieht schon: Der Absender dieser Mail ist keine staatliche Lotterie, sondern ein spammender Spezialexperte! 🥇️

Achtung!!
Um Ihrem Anspruch zu beginnen, es ist wichtig dass Sie Ihren Agenten sofort kontaktieren, und ausfüllen Sie das Formular unter und folgen Sie seinen Anweisungen für die schnelle und einfache Überweisung Ihre Gewinn.

Freundliche Grüße

Dr. Leo Fernandez Sanchez
KPMG administration.
EU-Claims

Aber so freundliche Grüße! 🎃️

Weil ein nachdenkendes Opfer den Betrug erschwert, soll man nicht nur schnell, sondern sofort machen. Und damit man auch so richtig auf allen Kanälen von einer Betrügerbande bearbeitet werden kann, soll man sich dabei auch sofort völlig datennackig machen:

KONTAKT FORMULAR

NAMEN:
ANSCHRIFT:
GEBURTSDATUM:
GESCHLECHT:
FAMILIENSTAND
BERUF:
NATIONALITÄT:
BETRAG GEWONNEN:
TELEPHONE:
MOBILE:
FAX:
E-mail:

Dumme, die sich für schlau halten, tragen einfach bei „Betrag gewonnen“ noch ein bisschen mehr als die vier Megaøre ein. Vielleicht merken die das ja gar nicht bei dieser Speziallotterie. 💰️

Unfassbar wichtig für die Auszahlung eines angeblichen Lotteriegewinnes ist natürlich das Geschlecht, der Familienstand, der Beruf, die Nationalität, die Telefonnummer und die Faxnummer. Vielleicht auch noch der Mädchenname der Urgroßmutter. Völlig unwichtig ist hingegen die Bankverbindung. 🤣️

Diese Spam hat natürlich auch einen Anhang. Es handelt sich…

$ ls -lh EA-lotteriegewinn.pdf 
-rw-rw-r-- 1 elias elias 556K Feb  2 13:52 EA-lotteriegewinn.pdf
$ file EA-lotteriegewinn.pdf 
EA-lotteriegewinn.pdf: PDF document, version 1.7
$ pdftotext EA-lotteriegewinn.pdf - | sed 20q
Sehr Geehrter Gewinner
Wir wurden beauftragt, Ihnen zu helfen Ihr Gewinn zu beanspruche in der letzten Sitzung der
European Elgordo Lottery 2021/22. Ihre Informationen wurden aus einer Online-Umfrage und
Zahlungssystemen ausgewählt.
Aus Tausenden von E-Mails und Namen erhalten von den internationalen Umfrage und
Zahlungssystemen, um Teilnahme an der Europäischen Online Elgordo Lotterie 2019/2020, Sie ein
Gewinner in der Zweiter Kategorie sind mit Gewinnnummer (86148), gezogen am Mittwochs, 22.
Dezember 2020, – Gewinnen betrag €4.000.000,00
Um Ihren Gewinn zu sehen, gehen Sie zu – www.elgordo.com. Klicken Sie auf (Result ) Ergebnisse
Dann finde und klicke auf elGordo ausgelost am Mittwochs 22. Dezember 2021
Unten ist die Information von der geprüfte und zugewiesene Rechtsanwalts/Ansprüche Agent die Sie
müssen kontaktieren, um Ihnen zu helfen, Ihr Geld zu verarbeiten, das in Ihrem Namen bei der
lotteriezahlenden Bank hinterlegt ist und jetzt zur Auszahlung bereit ist.
Agent name: Herr Daniel Lucia Aragon
Tel : +34 677 114 ■■■, Fax: +34 910 612 ■■■, Email: drdanielaragons@gmail.com
Rechtsanwalt / Agent Weblink: www.unabogado.es
Achtung!!
Um Ihrem Anspruch zu beginnen, es ist wichtig dass Sie Ihren Agenten sofort kontaktieren, und
ausfüllen Sie das Formular unter und folgen Sie seinen Anweisungen für die schnelle und einfache
Überweisung Ihre Gewinn.
$ _

…um ein 556 KiB großes PDF-Dokument, in dem noch einmal genau das Gleiche steht. Welchen Sinn das haben soll? Vermutlich glaubt der Spammer, dass seine Spam „ernsthafter“ aussieht, wenn sie einen großen und komplett überflüssigen Anhang hat. Da müssen wir einfach mal Verständnis haben. Dieser Spammer musste drei sehr harte Jahre durchleben: Die erste Klasse der Grundschule. Aber immerhin hat er später einmal in einer sinnlosen Hartz-IV-Maßnahme die Bedienung einer Textverarbeitung erlernt, und als er hörte, dass man da auch Bilder ins Dokument einbetten kann, bekam er ganz große Augen und passte einmal in seinem Leben genau auf. Und dann fing er an, lustige „offizielle“ Briefe zu basteln. Dieser PDF-Anhang ist die Speerspitze seiner Meisterschaft geworden, ein ehrfurchtgebietendes Werk, in dem Können und jahrelange Praxis kulminierten. Es sieht so aus:

So sieht das PDF aus

Da sind so viele Logos drauf! Und ein Euro-Symbol! Und ein Stempel! Mit einem Euro-Symbol! Kennen wir ja von Rechtsanwälten. Und eine Unterschrift wurde auch eingefügt, wenn man schon keine digitale Signatur hat! Wer jetzt immer noch nicht an seinen Gewinn glaubt, der hat wohl ein Gehirn. 🧠️

So schade für den Idioten, dass er nicht mehr so genau hingehört hat, als in seinem Textverarbeitungskurs über Tabellen gesprochen würde, sonst hätte er sicherlich ein „Kontakt Formular“ hinbekommen, dessen Linien am rechten Rand nicht so peinlich hin und her flattern. 😉️

Entf! 🗑️

¹Ich habe das aus polemischen Gründen etwas verkürzt. Tatsächlich sind die Lotterieerlöse zweckgebunden, so dass Steuermittel freiwerden, die nicht mehr für kulturelle Staatsaufgaben verwendet werden müssen, weil es ja Lotterieerlöse gibt.

FW;- Bank Slip For SOA AUG-2021,

Montag, 6. September 2021

Hi Dear,

Genau mein Name! 👏️

Good day,

Auch fast mein Name. Doppelt hält eben besser! 👏️👏️

Pls refer attached bank slip for SOA AUG-2021

Pls assist to check and conform received to us back by return. Thnks you

Ich kenne euch nicht einmal. Was soll ich mit eurem Bankbeleg? Und was soll ich euch zurücksenden?

Aber halten wir schon einmal fest, dass die Spam einen Anhang hat. Eine Datei mit dem Namen Bank Slip.r00, die 464 KiB groß ist. Jeder Mailanhang ist mit der Kneifzange anzufassen, selbst, wenn man den Absender zu kennen glaubt, denn die Absenderadresse einer E-Mail kann beliebig gefälscht werden. ⚠️

Thanks & Best Regards.

Nett, dass ihr euch für nichts bedankt. Das wirkt fast so höflich wie eine auf Klopapier gedruckte Liebeserklärung. 🤡️

Daisy Lien( Ms. )

Customer Service Dept.
P: (+84) 3 9983 ■■■■
87, B4 St., An Loi Dong Ward, Thu Duc, Ho Chi Minh, VietNam T: (+84) 28 3636 ■■■■ – Ext: 212
www.reallogistics.net

WCA: 98353 – JC TRANS: 110429 NVOCC/FMC: 027785 – FIATA – IATA Office: HoChiMinh – HaNoi – HaiPhong – DaNang

Ich kenne euch übrigens immer noch nicht. 👻️

Aber Zeit, sich mal den Anhang anzuschauen:

$ file 'Bank Slip.r00'
Bank Slip.r00: RAR archive data, v4, os: Win32
$ rar l 'Bank Slip.r00'

RAR 5.50   Copyright (c) 1993-2017 Alexander Roshal   11 Aug 2017
Trial version             Type 'rar -?' for help

Archive: Bank Slip.r00
Details: RAR 4

 Attributes      Size     Date    Time   Name
----------- ---------  ---------- -----  ----
    ..A....    740864  2021-09-06 03:35  K.exe
----------- ---------  ---------- -----  ----
               740864                    1

$ rar e 'Bank Slip.r00'

RAR 5.50   Copyright (c) 1993-2017 Alexander Roshal   11 Aug 2017
Trial version             Type 'rar -?' for help


Extracting from Bank Slip.r00

Extracting  K.exe                                                     OK 
All OK
$ ls -lh K.exe 
-rw-rw-r-- 1 elias elias 724K Sep  6 03:35 K.exe
$ file K.exe
K.exe: PE32 executable (GUI) Intel 80386 Mono/.Net assembly, for MS Windows
$ _

Ja, ich benutze hier eine Testversion von RAR, ich weiß…

Es handelt sich beim Anhang um ein RAR-Archiv mit der etwas unüblichen Dateinamenserweiterung .r00 – die meisten Menschen würden .rar bevorzugen, damit jedem sofort das Dateiformat klar ist. Aber unser Spammer baut halt darauf, dass der Empfänger einfach doppelklickt, weil man darauf so schön klicken kann. Ist ja nur eine Spam, was kann da schon schiefgehen. 😕️

Leute, benutzt euer Gehirn und löscht so eine Scheiße sofort! 🧠️

Praktisch immer, wenn irgendein angebliches Dokument in einem Archivformat an einer E-Mail hängt, handelt es sich um Schadsoftware. Die Spammer verwenden Archivformate, um die Virenfilterung auf dem Mailserver zu erschweren. Deshalb wurde hier vermutlich auch die etwas unübliche Dateinamenserweiterung .r00 verwendet. Kriminelle Spammer, die andere Rechner mit Schadsoftware übernehmen wollen, sind darauf angewiesen, dass ihre Spam durchkommt und auf Menschen trifft, die klicki-klicki Schadsoftware ausführen. 🖱️☣️

Das angebliche „Dokument“ erweist sich hier als eine ausführbare Datei für Microsoft Windows. Ich weiß jetzt nicht, welches Piktogramm diese .exe bekommen hat, aber wenn ich so eine Spam versenden würde, dann würde ich einfach das Piktogramm eines PDF-Dokumentes verwenden. Den wirklichen Dateitypen würden meine Opfer ja nicht sehen, den hat Microsoft ja vor ihnen verborgen, wenn sie es nicht in den Explorer-Einstellungen geändert haben¹. Und wer macht das schon? Eigentlich nur Menschen, die mit einem Computer umgehen können und nicht einfach nur eine Anwendung starten können. In einer Welt, in der ich das Bildungswesen gestalten würde, wäre das jeder Sonderschüler, und erst recht jeder Schüler mit höherem Abschluss. Es ist ja nicht so schwierig. 😡️

Und nach einem Doppelklick auf das scheinbare PDF hat man ein Programm gestartet, das einem spammende Verbrecher mit einem Vorwand als angeblichen „Bankbeleg“ zugeschoben haben. Wer das tut, kann ganz schnell einen riesengroßen Schaden anrichten. Dettelbach ist überall. Und wer sich auf sein Antivirus-Schlangenöl verlässt und glaubt, sich damit von dieser lästigen Verantwortung des Nachdenkens beim Klicken befreien zu können, ist auch schnell verlassen, denn zurzeit erkennt nur ein Viertel der gängigen Antivirus-Programme die klare Schadsoftware als eine Schadsoftware. Oder anders gesagt: An drei Viertel der gängigen Schlangenöle kommt dieser kriminelle Sondermüll vorbei, ohne dass es auch nur eine Warnung gäbe. Darauf kann man sich nicht verlassen. 😵️

Wie weiter oben schon gesagt, sollte man E-Mail-Anhänge mit äußerster Vorsicht behandeln. Wenn man den Absender kennt, einfach anrufen und bestätigen lassen, dass die Mail echt ist. Und wenn die Mail von außen kommt, dann öffnet man sie am besten unter einem anderen Betriebssystem als Microsoft Windows, wo bereits der (teilweise vor dem Anwender versteckte) Dateiname ausreicht, um dafür zu sorgen, dass beim scheinbaren Öffnen eines Dokumentes ein Programm ausgeführt wird. Antivirus-Schlangenöle helfen nicht. Die geben nur eine trügerische, gefühlte Sicherheit. ⛔️

¹Microsofts Entscheidung aus den Neunziger Jahren, einerseits den Typ der Datei im Dateinamen zu codieren und andererseits die Dateinamenserweiterung vor den Anwendern zu verbergen, dürfte seitdem einen Schaden von Milliarden, wenn nicht gar Billionen Dollar verursacht haben. Leider ist Microsoft dafür nicht haftbar. Deshalb korrigiert Microsoft diese schlechte Entscheidung auch seit einem Vierteljahrhundert nicht. Und die Menschen glauben immer noch, dass Microsoft alternativlos gute Software produziert, die man mit quasi religöser Hingabe verteidigen muss, weil es ja nichts anderes gibt. Dummheit ist eine destruktive Kraft, die bekämpft werden muss!

Payment Advice -Swift Transfer (127)ProCredit Bank Copy

Freitag, 5. Juni 2020

Den Spammern scheint ein neuer Weg eingefallen zu sein, wie man Schadsoftware an eine E-Mail hängen und an den Spamfiltern vorbeibekommen kann. Der Text dieser Spam ist einmal mehr der „gewohnte Kram“, der einen dazu bringen soll, einen Anhang zu öffnen:

Greetings,

We have done the payment. Kindly find the attached details for your reference.

Regards,
Chandrakant
Accounts

BOM-GIM Couriers & Logistics – Administrator GET IN TOUCH

BOM-GIM Corporate House
Plot no.133, Sector-8,
Gandhidham- Kutch
Gujarat -370201

+91 2836-239886-xx-xx-xx

helpdesk@bomgim.com
info@bomgim.com

Wir haben bezahlt. Einen Betrag. Irgendeinen. Eine Rechnungsnummer schreiben wir nicht in die Mail. Einen Rechnungsbetrag auch nicht. Und auch sonst nichts. Wir erwähnen auch gar nicht erst, wofür wir bezahlt haben. Und wer wir sind, machen wir auch nicht klar. Dafür formulieren wir völlig unpersönlich, damit wir diesen Text an ein paar Millionen Mailadressen schicken können. Mach schon den Anhang auf! So ein feiner Anhang… komm, mach ihn schon auf! 🐕

Kurz zusammengefasst: 🚨SCHADSOFTWAREALARM!🚨

Es ist nicht „das übliche“ .pdf.exe-Format, sondern ein für mich völlig neuer Trick im Anhang. Die angehängte Datei ist…

$ file print-out.\ \ Payments.\ TRN\ 100098947806003.img 
print-out.  Payments. TRN 100098947806003.img: UDF filesystem data (version 1.5) 'DESKTOP'
$ mkdir blah
$ sudo mount print-out.\ \ Payments.\ TRN\ 100098947806003.img blah
[sudo] Passwort für elias: 
$ ls -l blah
insgesamt 852
-r-xr-xr-x 1 nobody nogroup 872448 Jun  4 00:24 'print-out  Payments TRN 100098947806003.exe'
$ sudo umount blah
$ rmdir blah
$ _

…ein Abbild eines Dateisystems. Offenbar gibt es Computer, auf denen man so ein Dateisystemabbild durch klicki-klicki Doppelklick einfach einbindet, und dann wird wohl auch gleich ein Fenster des Dateimanagers mit dem Inhalt des „virtuellen Datenträgers“ aufgemacht. Und da liegt dann die ausführbare Datei für Microsoft Windows drin. Ein weiteres klicki-klicki, und man hat einen Computer anderer Leute auf dem Schreibtisch stehen, unter Umständen sogar ein ganzes Betriebsnetzwerk an Kriminelle übergeben. 🖱️😕

Ich wusste gar nicht, dass Microsoft Windows so „benutzerfreundlich“ geworden ist. Auf meinem Pinguin brauche ich für solche Operationen Administratorrechte. Aus guten Gründen, wie man sieht… :mrgreen:

Natürlich ist der so verpackte Anhang, der auf diese Weise wohl an den Spamfiltern vorbeigemogelt werden soll, mit an Sicherheit grenzender Wahrscheinlichkeit eine Schadsoftware.

Da stellt sich nur noch eine Frage: Wie sicher wird diese Schadsoftware wohl von den Antivirus-Schlangenölen erkannt? Lt. VirusTotal erkennen zurzeit 28 vo 60 Antivirus-Programmen den Anhang als Schadsoftware – und einige dieser Programme können nicht einmal den Dateitypen verarbeiten.

Also bitte auch weiterhin Mailanhänge als Gift betrachten und auf gar keinen Fall öffnen, wenn nicht der Absender jenseits jedes vernünftigen Zweifels klar ist! (Absenderadressen einer Mail können gefälscht sein, also auch bei bekannten Absendern besser vor dem Öffnen mal anrufen.) Dettelbach ist überall. Und Antivirus-Programme sind angesichts einer hochagilen Kriminalität nur von sehr begrenztem Nutzen.

LOTERIA INTERNATIONALE !

Mittwoch, 3. Juni 2020

Oh, schon wieder im Spamlotto gewonnen? Mal gucken, das ist bestimmt wieder ein Millionengewinn. Ich gewinne doch nie nur die hundert Euro, wenn ich schon kein Los kaufe. Oh, das ist ja eine ganz persönliche Mail mit richtig überzeugender Ansprache:

Lieber Konto Benutzername

Wir freuen uns, Sie über die Freigabe der preisgekrönten Programm Ankündigung zu informieren. Anbei ist die Originalkopie der Gewinn Gewinnbenachrichtigung.

Glückwunsch
Jose Pablo.

Ich mag ja das Wort „Originalkopie“. Das könnte von Kurt Schwitters sein. 😀

Ansonsten kommt mir diese Spam sehr vertraut vor. Die Ausrufezeichen im Betreff sind zwar etwas weniger geworden, aber dafür ist die angehängte „Originalkopie der Gewinn Gewinnbenachrichtung“ jetzt viel hübscher und dadaistisch wertvoller gestaltet. Nur echt mit Formular in MS Comic Sans, damit es auch richtig ernsthaft und wichtig aussieht!

Das angehängte PDF-Dokument in unfassbar schlechtem Layout und voller Fehler aller Art

Zur Abwechslung ist das Layout mit den im Hintergrund abgelegten spanischen Staatswappen in gnadenloser Unschärfe dermaßen mies, dass man kaum noch bemerkt, wie viele Rechtschreibfehler im Text sind, weil man den Text gar nicht mehr lesen kann. So kann man das natürlich auch machen.

Diese Spam aus dem täglichen Irrenhaus des Posteingangs ist ein Zustecksel meines Lesers A. H.