Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.


Schlagwortarchiv „Anhang“

FW;- Bank Slip For SOA AUG-2021,

Montag, 6. September 2021

Hi Dear,

Genau mein Name! 👏️

Good day,

Auch fast mein Name. Doppelt hält eben besser! 👏️👏️

Pls refer attached bank slip for SOA AUG-2021

Pls assist to check and conform received to us back by return. Thnks you

Ich kenne euch nicht einmal. Was soll ich mit eurem Bankbeleg? Und was soll ich euch zurücksenden?

Aber halten wir schon einmal fest, dass die Spam einen Anhang hat. Eine Datei mit dem Namen Bank Slip.r00, die 464 KiB groß ist. Jeder Mailanhang ist mit der Kneifzange anzufassen, selbst, wenn man den Absender zu kennen glaubt, denn die Absenderadresse einer E-Mail kann beliebig gefälscht werden. ⚠️

Thanks & Best Regards.

Nett, dass ihr euch für nichts bedankt. Das wirkt fast so höflich wie eine auf Klopapier gedruckte Liebeserklärung. 🤡️

Daisy Lien( Ms. )

Customer Service Dept.
P: (+84) 3 9983 ■■■■
87, B4 St., An Loi Dong Ward, Thu Duc, Ho Chi Minh, VietNam T: (+84) 28 3636 ■■■■ – Ext: 212
www.reallogistics.net

WCA: 98353 – JC TRANS: 110429 NVOCC/FMC: 027785 – FIATA – IATA Office: HoChiMinh – HaNoi – HaiPhong – DaNang

Ich kenne euch übrigens immer noch nicht. 👻️

Aber Zeit, sich mal den Anhang anzuschauen:

$ file 'Bank Slip.r00'
Bank Slip.r00: RAR archive data, v4, os: Win32
$ rar l 'Bank Slip.r00'

RAR 5.50   Copyright (c) 1993-2017 Alexander Roshal   11 Aug 2017
Trial version             Type 'rar -?' for help

Archive: Bank Slip.r00
Details: RAR 4

 Attributes      Size     Date    Time   Name
----------- ---------  ---------- -----  ----
    ..A....    740864  2021-09-06 03:35  K.exe
----------- ---------  ---------- -----  ----
               740864                    1

$ rar e 'Bank Slip.r00'

RAR 5.50   Copyright (c) 1993-2017 Alexander Roshal   11 Aug 2017
Trial version             Type 'rar -?' for help


Extracting from Bank Slip.r00

Extracting  K.exe                                                     OK 
All OK
$ ls -lh K.exe 
-rw-rw-r-- 1 elias elias 724K Sep  6 03:35 K.exe
$ file K.exe
K.exe: PE32 executable (GUI) Intel 80386 Mono/.Net assembly, for MS Windows
$ _

Ja, ich benutze hier eine Testversion von RAR, ich weiß…

Es handelt sich beim Anhang um ein RAR-Archiv mit der etwas unüblichen Dateinamenserweiterung .r00 – die meisten Menschen würden .rar bevorzugen, damit jedem sofort das Dateiformat klar ist. Aber unser Spammer baut halt darauf, dass der Empfänger einfach doppelklickt, weil man darauf so schön klicken kann. Ist ja nur eine Spam, was kann da schon schiefgehen. 😕️

Leute, benutzt euer Gehirn und löscht so eine Scheiße sofort! 🧠️

Praktisch immer, wenn irgendein angebliches Dokument in einem Archivformat an einer E-Mail hängt, handelt es sich um Schadsoftware. Die Spammer verwenden Archivformate, um die Virenfilterung auf dem Mailserver zu erschweren. Deshalb wurde hier vermutlich auch die etwas unübliche Dateinamenserweiterung .r00 verwendet. Kriminelle Spammer, die andere Rechner mit Schadsoftware übernehmen wollen, sind darauf angewiesen, dass ihre Spam durchkommt und auf Menschen trifft, die klicki-klicki Schadsoftware ausführen. 🖱️☣️

Das angebliche „Dokument“ erweist sich hier als eine ausführbare Datei für Microsoft Windows. Ich weiß jetzt nicht, welches Piktogramm diese .exe bekommen hat, aber wenn ich so eine Spam versenden würde, dann würde ich einfach das Piktogramm eines PDF-Dokumentes verwenden. Den wirklichen Dateitypen würden meine Opfer ja nicht sehen, den hat Microsoft ja vor ihnen verborgen, wenn sie es nicht in den Explorer-Einstellungen geändert haben¹. Und wer macht das schon? Eigentlich nur Menschen, die mit einem Computer umgehen können und nicht einfach nur eine Anwendung starten können. In einer Welt, in der ich das Bildungswesen gestalten würde, wäre das jeder Sonderschüler, und erst recht jeder Schüler mit höherem Abschluss. Es ist ja nicht so schwierig. 😡️

Und nach einem Doppelklick auf das scheinbare PDF hat man ein Programm gestartet, das einem spammende Verbrecher mit einem Vorwand als angeblichen „Bankbeleg“ zugeschoben haben. Wer das tut, kann ganz schnell einen riesengroßen Schaden anrichten. Dettelbach ist überall. Und wer sich auf sein Antivirus-Schlangenöl verlässt und glaubt, sich damit von dieser lästigen Verantwortung des Nachdenkens beim Klicken befreien zu können, ist auch schnell verlassen, denn zurzeit erkennt nur ein Viertel der gängigen Antivirus-Programme die klare Schadsoftware als eine Schadsoftware. Oder anders gesagt: An drei Viertel der gängigen Schlangenöle kommt dieser kriminelle Sondermüll vorbei, ohne dass es auch nur eine Warnung gäbe. Darauf kann man sich nicht verlassen. 😵️

Wie weiter oben schon gesagt, sollte man E-Mail-Anhänge mit äußerster Vorsicht behandeln. Wenn man den Absender kennt, einfach anrufen und bestätigen lassen, dass die Mail echt ist. Und wenn die Mail von außen kommt, dann öffnet man sie am besten unter einem anderen Betriebssystem als Microsoft Windows, wo bereits der (teilweise vor dem Anwender versteckte) Dateiname ausreicht, um dafür zu sorgen, dass beim scheinbaren Öffnen eines Dokumentes ein Programm ausgeführt wird. Antivirus-Schlangenöle helfen nicht. Die geben nur eine trügerische, gefühlte Sicherheit. ⛔️

¹Microsofts Entscheidung aus den Neunziger Jahren, einerseits den Typ der Datei im Dateinamen zu codieren und andererseits die Dateinamenserweiterung vor den Anwendern zu verbergen, dürfte seitdem einen Schaden von Milliarden, wenn nicht gar Billionen Dollar verursacht haben. Leider ist Microsoft dafür nicht haftbar. Deshalb korrigiert Microsoft diese schlechte Entscheidung auch seit einem Vierteljahrhundert nicht. Und die Menschen glauben immer noch, dass Microsoft alternativlos gute Software produziert, die man mit quasi religöser Hingabe verteidigen muss, weil es ja nichts anderes gibt. Dummheit ist eine destruktive Kraft, die bekämpft werden muss!

Payment Advice -Swift Transfer (127)ProCredit Bank Copy

Freitag, 5. Juni 2020

Den Spammern scheint ein neuer Weg eingefallen zu sein, wie man Schadsoftware an eine E-Mail hängen und an den Spamfiltern vorbeibekommen kann. Der Text dieser Spam ist einmal mehr der „gewohnte Kram“, der einen dazu bringen soll, einen Anhang zu öffnen:

Greetings,

We have done the payment. Kindly find the attached details for your reference.

Regards,
Chandrakant
Accounts

BOM-GIM Couriers & Logistics – Administrator GET IN TOUCH

BOM-GIM Corporate House
Plot no.133, Sector-8,
Gandhidham- Kutch
Gujarat -370201

+91 2836-239886-xx-xx-xx

helpdesk@bomgim.com
info@bomgim.com

Wir haben bezahlt. Einen Betrag. Irgendeinen. Eine Rechnungsnummer schreiben wir nicht in die Mail. Einen Rechnungsbetrag auch nicht. Und auch sonst nichts. Wir erwähnen auch gar nicht erst, wofür wir bezahlt haben. Und wer wir sind, machen wir auch nicht klar. Dafür formulieren wir völlig unpersönlich, damit wir diesen Text an ein paar Millionen Mailadressen schicken können. Mach schon den Anhang auf! So ein feiner Anhang… komm, mach ihn schon auf! 🐕

Kurz zusammengefasst: 🚨SCHADSOFTWAREALARM!🚨

Es ist nicht „das übliche“ .pdf.exe-Format, sondern ein für mich völlig neuer Trick im Anhang. Die angehängte Datei ist…

$ file print-out.\ \ Payments.\ TRN\ 100098947806003.img 
print-out.  Payments. TRN 100098947806003.img: UDF filesystem data (version 1.5) 'DESKTOP'
$ mkdir blah
$ sudo mount print-out.\ \ Payments.\ TRN\ 100098947806003.img blah
[sudo] Passwort für elias: 
$ ls -l blah
insgesamt 852
-r-xr-xr-x 1 nobody nogroup 872448 Jun  4 00:24 'print-out  Payments TRN 100098947806003.exe'
$ sudo umount blah
$ rmdir blah
$ _

…ein Abbild eines Dateisystems. Offenbar gibt es Computer, auf denen man so ein Dateisystemabbild durch klicki-klicki Doppelklick einfach einbindet, und dann wird wohl auch gleich ein Fenster des Dateimanagers mit dem Inhalt des „virtuellen Datenträgers“ aufgemacht. Und da liegt dann die ausführbare Datei für Microsoft Windows drin. Ein weiteres klicki-klicki, und man hat einen Computer anderer Leute auf dem Schreibtisch stehen, unter Umständen sogar ein ganzes Betriebsnetzwerk an Kriminelle übergeben. 🖱️😕

Ich wusste gar nicht, dass Microsoft Windows so „benutzerfreundlich“ geworden ist. Auf meinem Pinguin brauche ich für solche Operationen Administratorrechte. Aus guten Gründen, wie man sieht… :mrgreen:

Natürlich ist der so verpackte Anhang, der auf diese Weise wohl an den Spamfiltern vorbeigemogelt werden soll, mit an Sicherheit grenzender Wahrscheinlichkeit eine Schadsoftware.

Da stellt sich nur noch eine Frage: Wie sicher wird diese Schadsoftware wohl von den Antivirus-Schlangenölen erkannt? Lt. VirusTotal erkennen zurzeit 28 vo 60 Antivirus-Programmen den Anhang als Schadsoftware – und einige dieser Programme können nicht einmal den Dateitypen verarbeiten.

Also bitte auch weiterhin Mailanhänge als Gift betrachten und auf gar keinen Fall öffnen, wenn nicht der Absender jenseits jedes vernünftigen Zweifels klar ist! (Absenderadressen einer Mail können gefälscht sein, also auch bei bekannten Absendern besser vor dem Öffnen mal anrufen.) Dettelbach ist überall. Und Antivirus-Programme sind angesichts einer hochagilen Kriminalität nur von sehr begrenztem Nutzen.

LOTERIA INTERNATIONALE !

Mittwoch, 3. Juni 2020

Oh, schon wieder im Spamlotto gewonnen? Mal gucken, das ist bestimmt wieder ein Millionengewinn. Ich gewinne doch nie nur die hundert Euro, wenn ich schon kein Los kaufe. Oh, das ist ja eine ganz persönliche Mail mit richtig überzeugender Ansprache:

Lieber Konto Benutzername

Wir freuen uns, Sie über die Freigabe der preisgekrönten Programm Ankündigung zu informieren. Anbei ist die Originalkopie der Gewinn Gewinnbenachrichtigung.

Glückwunsch
Jose Pablo.

Ich mag ja das Wort „Originalkopie“. Das könnte von Kurt Schwitters sein. 😀

Ansonsten kommt mir diese Spam sehr vertraut vor. Die Ausrufezeichen im Betreff sind zwar etwas weniger geworden, aber dafür ist die angehängte „Originalkopie der Gewinn Gewinnbenachrichtung“ jetzt viel hübscher und dadaistisch wertvoller gestaltet. Nur echt mit Formular in MS Comic Sans, damit es auch richtig ernsthaft und wichtig aussieht!

Das angehängte PDF-Dokument in unfassbar schlechtem Layout und voller Fehler aller Art

Zur Abwechslung ist das Layout mit den im Hintergrund abgelegten spanischen Staatswappen in gnadenloser Unschärfe dermaßen mies, dass man kaum noch bemerkt, wie viele Rechtschreibfehler im Text sind, weil man den Text gar nicht mehr lesen kann. So kann man das natürlich auch machen.

Diese Spam aus dem täglichen Irrenhaus des Posteingangs ist ein Zustecksel meines Lesers A. H.

Guten Tag, lieber glücklicher Gewinner

Samstag, 1. Februar 2020

Qualitätsbetreff! 🏆

Central Loteria NacionalEuropa. Calle De Espoz Y Mina, 28012 Madrid, Spain Tel: +34 631 082 xxx Fax :+34 951 127 xxx Email: centralloteria@acx360.com

Da steht eine Adresse drin, mit einer Mailadresse zum Antworten, die nicht der Absenderadresse entspricht! Das sieht voll wichtig aus. Das muss echt sein! 🙃

Sehr Geehrter Kunde,

Krass, meinen Namen kennen die Absender auch! 👏

Abschließende Mitteilung für die Zahlung des nicht beanspruchten Preisgeldes
Wir möchten Sie informieren, dass das Büro des nicht Beanspruchten Preisgeldes in Spanien [sic!], unsere Anwaltskanzlei ernannt hat, als gesetzliche Berater zu handeln, in der Verarbeitung und der Zahlung eines Preisgeldes, das auf Ihrem Namen [Aber ich bin doch nur der „geehrte Kunde“] gutgeschrieben wurde, und nun seit über zwei Jahren nicht beansprucht wurde.
Der Gesamtbetrag der ihnen zusteht beträgt momentan 8.440.225.15 EUROS
Das ursprüngliche Preisgeld bertug 5.906.315,00 EUROS. Diese Summe wurde fuer nun mehr als zwei Jahre, Gewinnbringend angelegt, daher die aufstockung [sic!] auf die oben bennante Gesammtsumme. Entsprechend dem Büros des nicht Beanspruchten Preisgeldes [sic!], wurde dieses Geld als nicht beanspruchten Gewinn einer Lotteriefirma bei ihnen zum verwalten niedergelegt [sic!] und in ihrem namen [Was ist denn mein Name?] versichert. Nach Ansicht der Lotteriefirma wurde ihnen das Geld nach einer Weihnachtsförderunglotterie zugesprochen [Alles Ansichtssache, das mit dem Gelde!]. Die Kupons wurden von einer Investmentgesellschaft gekauft [Wir investieren in Lotterielose!]. Nach Ansicht der Lotteriefirma wurden sie damals Angeschrieben um Sie über dieses Geld zu informieren es hat sich aber leider bis zum Ablauf der gesetzten Frist keiner gemeldet um den Gewinn zu Beanspruchen. Dieses war der Grund weshalb das Geld zum verwalten niedergelegt wurde [🛏️]. Gemäß des Spanischen Gesetzes [Gesetzbuch und Paragraph Fehlanzeige!] muss der inhaber alle zwei Jahre ueber seinen vorhanden Gewinn informiert werden. Sollte dass Geld wieder nicht beansprucht werden,. wird der Gewinn abermals ueber eine Investmentgesellschaft für eine weitere Periode von zwei Jahren angelegt werden. Wir sind daher, durch das Büro des nicht Beanspruchten Preisgelds [Büros gibt das…] beauftragt worden sie anzuschreiben. Dies ist eine Notifikation für das Beanspruchen dieses Gelds.

Aber da war die Kreativität der Spammer schon wieder am Ende. Jetzt gibt es wieder millionenfach bewährten Standardtext zur Einleitung eines Vorschussbetruges, den seit Generationen ein Betrüger vom anderen abgeschrieben hat, so dass er im Laufe der Jahre immer dümmer wurde. Immerhin haben sie sich diesmal neue „Beträge, die mir zustehen“ ausgedacht. Es war für die Spammer sicherlich intellektuell sehr fordernd, sich ein paar bedeutungslose Zahlen auszudenken. 🧠

Ansonsten ist es eben diese Weihnachtsförderungslotterie, für die man niemals ein Los kaufen muss, damit dieses viel zu unbekannte und von niemanden gefeierte Weihnachten mal ein bisschen gefördert werde. Das macht der Weihnachtsmann von einer Investmentgesellschaft. 🎅

Wir möchten sie darauf hinweisen, dass die Lotterie Gesellschaft überprüfen und bestätigen wird ob ihre Identität uebereinstimmt bevor ihnen ihr Geld ausbezahlt wird. Wir werden sie beraten wie sie ihren Anspruch geltend machen. Bitte setztzen sie sich dafuer mit unserer Deutsch Sprachigen Rechtsanwaeltin in Verbindung DR. ANGELO FERNANDO TEL. +34 631 082 xxx : FAX. +34 951 127 xxx . E-MAIL- centralloteria@acx360.com. ist zustaendig fuer Auszahlungen ins Ausland und wird ihnen in dieser sache zur seite stehen. Der Anspruch sollte vor den 15-02-2020 geltend gemacht werden, da sonst dass Geld wieder angelegt werden wuerde. Wir freuen uns von Ihnen zu hören, während wir Ihnen unsere Rechtshilfe Versichern.

Meine Identität muss noch übereinstimmen? Aber ich bin doch der „liebe, glückliche Gewinner“ ohne Namen und ohne alles und der „sehr geehrte Kunde“ ohne Namen und ohne alles, was will man da noch überprüfen. Das passt auf jede handelsübliche Amöbe. 🤦

Allerdings könnte es sein, dass besser gebildete Amöben zu klug wären, um auf einen dermaßen primitiv vorgetragenen Betrug reinzufallen. 😉

Mit freundlichen Grüßen
Loteria Naciona Estado

Ich kann kein Wort spanisch, aber ich bin mir sicher, dass das Adjektiv „nacional“ lautet. Und freundliche Grüße von der Nationalstaatslotterie klingen vermutlich in jeder Sprache dieser Welt ein bisschen lächerlich. Das ist ja auch der Grund dafür, dass man sich in jedem Staat lustige, reklamemächtige Wörter ausgedacht hat, wenn man den Einwohnern des Staates die Möglichkeit geben will, über staatliche Lotterielose noch einmal völlig freiwillig eine Steuer auf die eigene Idiotie und dumme Gier abzudrücken. Als ob man nicht genug Steuern zahlte! 🤑

So, jetzt muss ich aber erstmal die Identität klarstellen, die hinterher mit mir verglichen wird, um mir die 8,4 Megaøre für den lieben Kunden auszuzahlen. Das mache ich, indem ich mich mal kurz vor einem Spammer hinstelle und mich so gründlich datennackt mache, dass man damit noch einen Identitätsmissbrauch für diverse weitere Betrugsgeschäfte machen könnte. Weil mir der Spammer so schöne Spams schreibt, in denen mir so schönes Geld versprochen wird.

ANMELDEFORMULAR FÜR DEN GEWINNANSPRUCH

Bitte geben Sie die folgenden Informationen, wie unten gefordert, faxen es zurück [sic!] an unsere Büro sofort für uns in der Lage zu sein die Legalisierung Prozess [sic!] Ihrer Personliche investiertes Preisgeld zu vervollständigen, und das Geld wird Ihnen von der La Caixa Int Bank ausgezahlt. Alle Prozess Überprüfung [sic!] durch unsere Kanzlei ist für Sie kostenlos, weil unsere Kosten werden von der internationalen Lotto Kommission am Ende des Prozesses zu zahlen [sic!], wenn Sie Ihr Geld erhalten. Wenn Sie nicht die erforderlichen Informationen vor der Zeit gegeben hat, können ist Anwaltskanzlei nicht haftbar gemacht werden, wenn Ihr Geld reinvestiert wurde.

Dieser Mitautor des zusammengepflasterten Machwerkes schreibt ja wie ein Russe, der ein bisschen Deutsch gelernt hat. 😉

Ein Bestätigungsschreiben wird Ihnen gefaxt werden sofort wenn wir komplette Überprüfung der Informationen die Sie uns zur Verfügung stellen habe, Ich werde die Investmentbank unverzüglich über die von Ihnen angegebene Informationen zu kommen, bevor sie werden mit Ihnen Kontakt aufnehmen für die aus Zahlung [sic!] von Ihrem Geld. Ihre Daten werden vertraulich gehalten nach der Europäischen Unionn Datenschutzrecht.

Aber ich habe gar kein Faxgerät. Und ich werde mir auch keines zulegen. Na, will ich mal froh sein, dass es im Internetzeitalter nicht mehr Telex ist. Oder Brieftaube. Oder Rauchzeichen. 😉

VORNAMEN:
NAMEN:
REFERENZ No: 79140/5102506011
GEWINN-SUMME:
ANSCHRIF:
POSTLEITHZAHL:
ORT:
BERUF
TELEFON:
GEBURTSDATUM:
EMAIL:
DATUM:

Unendlich wichtig für die Auszahlung eines Geldbetrages (zum Beispiel durch versicherte Zustellung eines Schecks oder SEPA-Überweisung) ist die Kenntnis meines Berufes, meiner Telefonnummer, meines Geburtsdatums. Die Mailadresse, an die die freundlichen Klappspaten aus der lodernden Hirnhölle ihre Gewinnbenachrichtung mit der angegebenen Referenznummer 79140/5102506011 versendet haben, kennen sie leider schon nicht mehr. Das ist vermutlich dieses „Europäische Unionn Datenschutzrecht“, die haben sie bestimmt gleich wieder gelöscht. 👍

Moment, früher hing an diesen Müllmails doch auch immer ein lustiger Anhang. Ja, da ist auch noch ein lustiger Anhang mit einem lustigen Dateinamen:

$ ls -lh *.pdf
-rw-rw-r-- 1 elias elias 569K Feb  1 14:40 'GEWINNENDE MITTEILUNG_.pdf'
$ _

Ein PDF-Dokument. 570 KiB Datenmüll mit einer an sich wohlformatierbaren Gewinnnachricht. Hier werden die Spammer sicherlich ihren Gestaltungswillen mal so richtig ausgetobt haben. Das sieht sicherlich viel überzeugender aus als diese dumme Mail zur Einleitung eines Vorschussbetruges. Nun ja, es sieht eben aus:

So sieht das angehängte PDF-Dokument mit der Gewinnmitteilung aus

Ich weiß zwar nicht, was sich die Idioten von Spammern davon versprechen, wenn sie ihren Strunztext noch ein zweites Mal in Form eines fetten und brutalstmöglich gestalteten PDFs an die Spam hängen, aber sie werden sich sicherlich etwas davon versprechen. 😂

Es kann ja auch nicht jeder Glück beim Denken haben! 🍀

USA / ATOMKRIEG – Amen

Mittwoch, 15. Januar 2020

Auf gar keinen Fall den Anhang öffnen! Das Word-Dokument enthält Makros, die Schadsoftware nachladen und installieren, danach hat man einen Computer anderer Leute auf dem Schreibtisch stehen.

So so, Amen! So sei es! Zum Atomkrieg. Komm, Spammer, nimm mal wieder deine Medikamente! 💊

Oh, du kannst aber „schöne“ Bilder basteln:

Es ist gar keine Frage, daß ein Atomkrieg denkbar ist

ATOMKRIEG -- Foto eines Atompilzes -- Die Angst vor einem Atomkrieg ist zurück -- Die 'dunkle Bedrohung' sei zurück, mahnen Experten auf der Sicherheitskonferenz in München. Experten fürchten, dass wir dicht an einer potenziellen nuklearen Katastrophe stehen. -- WAS ZU TUN IST? -- Wir haben 20 nützliche Tipps für Sie zusammengestellt. -- (Alle Informationen in der angehängten Datei) -- ACHTUNG! NICHT IGNORIEREN! -- Dein Leben hängt davon ab -- Gott hilf uns!

Der Anhang, den zu öffnen man derart eindringlich aufgefordert wird, als hinge das ganze Leben davon ab, ist ein Dokument für Microsoft Word. Dieses Dokument besteht aus einer einzigen, völlig leeren Seite. Und natürlich noch aus…

Screenshot des Dialogfensters, das beim Öffnen des Dokumentes mit Libre Office angezeigt wird. -- Dieses Dokument enthält Makros. -- Makros können Viren enthalten. Die Ausführung dieser Makros wird aufgrund der aktuellen Makrosicherheits-Einstellung unter Extras - Optionen - LibreOffice-Sicherheit unterbunden. -- Manche Funktionen stehen daher möglicherweise nicht zur Verfügung. -- [OK]

…ein paar Makros, die beim Öffnen des Dokumentes in Microsoft Word automatisch ausgeführt werden sollen. Der Warnung, die ich hier als Screenshot von LibreOffice wiedergegegeben habe, ist nur eines hinzuzufügen: Wenn einem ein Dokument mit so viel Psychodruck in einer Spam reingedrückt werden soll, dann ist es sogar sicher, dass die Makros Schadsoftware sind. 💀

Und solche Deklarationen von Windows-API-Funktionen, wie ich sie eben gerade in diesen Makros gefunden habe, werden wirklich niemals in einem normalen Dokument benötigt:

Private Declare Function URLDownloadToFile Lib "urlmon" Alias _
  "URLDownloadToFileA" (ByVal pCaller As Long, ByVal szURL As String, ByVal _
    szFileName As String, ByVal dwReserved As Long, ByVal lpfnCB As Long) As Long
Private Declare Function CreateProcess Lib "kernel32" Alias "CreateProcessA" (ByVal lpApplicationName As String, ByVal lpCommandLine As String, lpProcessAttributes As Any, lpThreadAttributes As Any, ByVal bInheritHandles As Long, ByVal dwCreationFlags As Long, lpEnvironment As Any, ByVal lpCurrentDriectory As String, lpStartupInfo As STARTUPINFO, lpProcessInformation As PROCESS_INFORMATION) As Long
Private Declare Sub GetStartupInfo Lib "kernel32" Alias "GetStartupInfoA" (lpStartupInfo As STARTUPINFO)

Ich hoffe, dass spätestens jetzt auch jeder verstanden hat, dass ein Makro für Microsoft Office alles kann, was ein ausführbares Programm – eine .exe – für Microsoft Windows auch kann. Das Öffnen eine Office-Dokumentes mit freigeschalteten Makros aus fragwürdiger Quelle ist ganz genau so gefährlich wie das Ausführen eines Programmes aus fragwürdiger Quelle. Wer das macht, geht an den Computer so heran, wie unerfahrene Teenager an die Sexualität: Schnell, einfach und gefährlich. Ich hoffe mal, dass die meisten Computernutzer etwas reifer sind. 😉

Weder muss ein legitimes Makro Dateien aus dem Internet nachladen können, noch muss es einen neuen Prozess erzeugen können, noch muss es an die Verwaltungsinformationen des Betriebssystemes für den neuen Prozess kommen. Das wird in dieser Kombination nur benötigt, wenn eine Datei aus dem Internet nachgeladen werden soll, um dann möglichst unsichtbar ausgeführt werden zu können. Es handelt sich um völlig klare Schadsoftware. Diese wird zurzeit nur von einem Viertel der gängigen Antivirus-Schlangenöle erkannt, wer sich darauf verlässt, ist also einmal mehr verlassen. 🙁

Das ist ja auch der Grund, weshalb man trotz Antivirus-Schlangenöl keine Anhänge aus einer E-Mail öffnet, die nicht vorher über einen anderen Kanal abgesprochen wurden oder deren Absender durch eine überprüfte digitale Signatur jenseits jedes vernünftigen Zweifels feststeht und vertrauenswürdig ist. Die Absenderadresse ist beliebig fälschbar und reicht nicht aus. Man öffnet Anhänge auch nicht, oder besser erst recht nicht, wenn ein Spammer in seiner Spam behauptet, es sei ogottogott jetzt wirklich lebenswichtig, dass man den Anhang öffne. Wenn etwas so wichtig ist, kann man es auch einfach in die Mail hineinschreiben und braucht nicht umständlich einen Anhang dranzuhängen. 😉

Wer das kann, sollte die Ausführung von Makros in Office-Programmen ausschalten. Dies ist bei gewöhnlicher Benutzung mit keinem Funktionsverlust verbunden, aber schließt ein großes Sicherheitsloch, das immer wieder von solchen Halunken wie diesem heutigen Atomspammer ausgebeutet wird. Leider gibt es viele betriebliche Umfelder, in denen das gar nicht so einfach möglich ist, weil Geschäftsprozesse teilweise in Office-Makros programmiert wurden. Ja, das war eine dumme Entscheidung, aber damals in den Neunziger Jahren hat niemand auf mich gehört, als ich davor gewarnt habe, und heute ist es zu spät. Da habt ihr den Salat, und zwar genau so, wie ihr ihn bestellt habt! Da hilft nur noch äußerste Vorsicht in einem unnötig gefährlich gemachten Umfeld.

Endgultige Gewinnbenachrichtigung

Freitag, 19. Juli 2019

Aber so richtig gultig! 🏆

Von: EU-Claims <info1@yonezawa-ds.com>
Antwort an: ruizrodriguezz@yandex.com

Natürlich mit gefälschtem Absender und mit einer kostenlos und weitgehend anonym einzurichtenden Antwortadresse, denn es ist ja ein Trickbetrüger, der hier schreibt.

Sehr geehrter Gewinner

Natürlich ist der Name des Empfängers mal wieder genau getroffen. 👏

Finden Sie im Anhang die Gewinnbenachrichtigung, die angehangte Datei ist sicher und scannen Sie das PDF.

Wir alle sagen „scannen“, wenn wir lesen sagen wollen. 🤣

Und es geht im besten Spamdeutsch weiter – denn so ein Lotterieveranstalter, der Millionenbeträge ausschüttet, kann sich ja keinen richtigen Dolmetscher leisten:

Wir wurden beauftragt, Ihnen zu helfen Ihr Gewinn zu beanspruche [sic!] in der letzten Sitzung der European Elgordo [sic!] Lottery 2018/2019. Ihre Informationen wurden aus einer Online-Umfrage und Zahlungssystemen [sic!] ausgewahlt.
Aus Tausenden von E-Mails und Namen erhalten von den internationalen Umfrage und Zahlungssystemen [sic!], um Teilnahme an der Europ?ischen Online Elgordo [sic!] Lotterie/Nationale Lotterie 2018, Sie ein Gewinner in der zuerst Kategorie sind [sic!] mit Gewinnnummer (03347), gezogen am Samstag, 22. Dezember 2018, C Gewinnen betrag Eur 4.000.000,00

Aha, ich habe also bei einer Lotterie gewonnen, bei der man gar kein Los kaufen muss, sondern nur an Online-Umfragen teilnehmen muss. Oder in Zahlungssystemen drinsteckt. Diese Lotterie finanziert sich, indem sie einen Geldbaum im Hof stehen hat. Da gibt es dann tausende von Mailadressen, an die irgendwelche Nummern geflanscht werden, von denen meine gewonnen hat. Nicht nur so ein paar hundert Øre oder einen Trostpreis, sondern die fetten Milliönchen. 💰

Immerhin wusste die verwendete Übelsetzungssoftware, wie man das hier in Deutschland mit den Punkten und Kommas in Zahlen macht. Das ist bei solchen Spams keine Selbstverständlichkeit. 😉

Um Ihren Gewinn zu sehen, gehen Sie zu www.elgordo.com Klicken Sie auf (Result ) Ergebnisse.

Dann finde und klicke auf el Gordo ausgelost am Samstag, 22. Dezember 2018

Damit ich diese wirrselige und psychiatrisch wertvolle Geschichte eines mit seiner Tätigkeit überforderten Schwachkopfgehilfen aus meiner Spam auch glauben kann, soll ich auf die Website der spanischen Weihnachtslotterie klicken, wo diese Nummer dann auch steht. Was diese Nummer mit meiner Mailadresse zu tun hat und wie sie an meine Mailadresse drangekommen ist, steht da allerdings nicht. Es bedarf ja auch keiner weiteren Erklärungen, sondern soll einfach geglaubt werden. 🐑

Ebenfalls unerklärt bleibt die an sich sehr naheliegende Frage, wieso es 209 Tage gedauert haben soll, mich mit einer E-Mail darüber zu benachrichtigen, dass meine Mailadresse etwas gewonnen hat. Vermutlich war der Weihnachtsmann mit zu vielen anderen Dingen beschäftigt. 😀

Unten ist die Information von der geprefte [sic!] und zugewiesene Rechtsanwalts/Ansprache Agent die Sie m?ssen [sic!] kontaktieren, um Ihnen zu helfen, Ihr Geld zu verarbeiten, das in Ihrem Namen bei der lotteriezahlenden Bank [sic!] hinterlegt ist und jetzt zur Auszahlung bereit ist.
Agent name: Herr Miguel Jimenez Tel : +34 631 542 xxx. Email: anwaltsburo@yandex.com Rechtsanwalt / Agent Weblink: www.unabogado.es

Natürlich setzt man sich auch nicht mit dem Lotterieveranstalter selbst auseinander, und der hat auch keine eigenen Juristen für die Abwicklung seiner Lotterien, sondern mit einem angeblich beauftragten Anwalt, mit dem man unter anderem in unverschlüsselter E-Mail (also offen wie mit Postkarten) auf einer anonym und kostenlos eingerichteten Mailadresse bei einem russischen Freemailer über Millionenbeträge kommunizieren soll. Was kann dabei schon schiefgehen?! 🤮

Achtung!!

Stillgestaaaaaaaandn! 👮

Um Ihrem Anspruch zu beginnen [sic!], es ist wichtig dass Sie Ihren Agenten sofort kontaktieren und ausfullen [sic!] Sie das Formular unter [sic!] und folgen Sie seinen Anweisungen f?r [sic!] die schnelle und einfache ?berweisung [sic!] Ihre Gewinn [sic!].

Natürlich hatte der Spammer keine Lust, sich mit seinem Text zur Einleitung eines Vorschussbetruges Mühe zu geben, denn sonst könnte er ja gleich arbeiten gehen. Deshalb hat er den ganzen Kram einfach aus anderen Mails zusammenkopiert. Auch aus solchen, bei denen die Umlaute teilweise völlig verunglückt sind.

Es ist eine…

Freundliche GruBe

…standesgemäß „freundliche“ Grube. 🤣

(Da hat jemand aus einem mit an Sicherheit grenzender Wahrscheinlichkeit nicht-deutschsprachigen Land eine OCR über einen ausgedruckten Text laufen lassen, die dann ein „ß“ als graphisch recht ähnliches „B“ erkannt hat. Die halbe Minute Aufwand des Starts einer automatischen Rechtschreibkorrektur waren diesem Jemanden zu viel der vergeudeten Lebenszeit für seine von ihm tief verachteten Opfer. Und selbst konnte er natürlich auch kein Deutsch.)

Dr. Leo Fernandez Sanchez
KPMG administration.
EU-Claims

Dr. rer. subterf. Lughans Schofelmeyer
Vorschussbetrugseinleitung
Unfähig, in den Sprachen seines Zuständigkeitsgebietes zu schreiben

Und jetzt noch ein kleiner Datenstriptease vor Verbrechern, damit diese auch ein paar Daten an ihre Betrügerkollegen zu verkaufen haben:

NAMEN:
ANSCHRIFT:
GEBURTSDATUM:
GESCHLECHT:
FAMILIENSTAND :
BERUF:
NATIONALITÄT:
BETRAG GEWONNEN:
TELEPHONE:
MOBILE:
FAX:
E-mail:

Detail aus dem angehängten PDF-Dokument: Ein StempelUnendlich wichtig für die Auszahlung eines Lotteriegewinns ist natürlich nicht die IBAN für die SEPA-Überweisung des gewonnenen Geldes oder eine Postanschrift für die Zustellung eines Schecks in Form eines versicherten Briefes, sondern das Geburtsdatum, das Geschlecht, der Familienstand, der Beruf, der Gewinnbetrag (weil ein Lotterieveranstalter sonst nicht so genau weiß, wie viel eigentlich gewonnen wurde), die Telefon- und Handynummer, die Faxnummer (ein Wunder, dass man keine Telex-Nummer angeben soll) und die Mailadresse, die eigentlich im Absender der Mail steht, wenn man als ganz normaler Mensch (also nicht als Werber oder Spammer) seine Mail versendet. So wird man schon dezent darauf vorbereitet, dass das angebliche Auszahlungsverfahren von umständlichster Umständlichkeit sein wird und vom „Gewinner“ erfordert, dass er eine finanzielle Vorleistung nach der anderen bezahlt. Natürlich nicht durch Banküberweisungen oder Schecks, sondern immer maximal anonymisierend über Western Union und Konsorten, denn diese Betrüger wollen ja nicht beim Geldabheben verhaftet werden und im Gefängnis landen, sondern das so erschwindelte Geld im Puff bei Koks und Nutten verprassen.

Damit es in diesen traurigen Zeiten voller spammiger Dummheit noch ein bisschen mehr zu lachen gibt, hat diese Mail auch einen Anhang. Es handelt sich um…

$ ls -lh *.pdf
-rw-rw-r-- 1 elias elias 531K Jul 19 15:44 'Endgultige Gewinnbenachrichtigung.pdf'
$ _

…eine 531 KiB große PDF-Datei, damit auch ja schön viel Ballast im Postfach liege. Dieses Dokument sieht natürlich auch aus, und zwar so:

PDF mit einer angeblichen Gewinnbenachrichtigung einer Lotterie, das zur Einleitung eines Vorschussbetruges an eine E-Mail angehängt war

Welchen tieferen Sinn es haben soll, den Text der E-Mail noch einmal in einem derart großen E-Mail-Anhang zu wiederholen, gehört zu den unergründlichen Geheimnissen in den darbenden Gehirnchen irgendwelcher Spammer. 🤯

Kurz verlinkt

Mittwoch, 20. März 2019

Diese Spams sehe ich nicht, weil man sich bei mir nicht um einen Job bewerben kann. Es werden Unternehmen angemailt, die Stellenangebote offen haben. Bitte auf jeden Fall beim LKA Niedersachsen weiterlesen, bevor E-Mail-Bewerbungen geöffnet werden!

Wer hier die Mail, die in der Regel einen einfachen Begrüssungstext [sic!] (zum Teil mit Foto) enthält, bekommt und den beigefügten Anhänge (Word-Datei) unter Windows mit Microsoft Office öffnet, der bekommt mittels Makros Schadsoftware nachgeladen!

Die Bewerbungsmails unterscheiden sich jedoch immer wieder. So sind die einleitenden Worte mal etwas ausführlicher, mal aber auch sehr kurz gehalten. Die Art des Schreibens zeigt kaum bis keine Rechtschreib- und Grammatikfehler.

[…]

Wichtig ist, dass Firmen, Behörden usw., die Stellen ausschreiben, sich der Gefahr der Zusendung dieser gefälschten und gefährlichen Mails bewusst sind und nicht ungeprüft enthaltene Anhänge öffnen. Die Makrofunktion in MS Office oder vergleichbaren Office-Produkten sollte zwingend deaktiviert sein.

Der letzte hier zitierte Absatz sagt alles, was wichtig ist. Makros sind in Dokumenten eingebettete Programme, die innerhalb des Office-Programmes laufen und alles können, was ein Programm unter Microsoft Windows auch kann. Dieses Funktionsmerkmal ist für nicht vertrauenswürdige Dokumente – und kein unsigniertes oder von einem Unbekannten aus dem Internet mit E-Mail zugestelltes Dokument ist jemals vertrauenswürdig – unbedingt abzustellen. Sonst kann man genau so gut eine EXE ausführen, die einer E-Mail angehängt wurde. Ja, es ist wirklich das Gleiche. 🙁

Und Makros sollten nicht erst deaktiviert werden, wenn die Kriminalpolizei warnt, denn dann war es schon für hunderte betroffene Unternehmen schon zu spät. Der angerichtete Schaden kann leicht erheblich werden.

Abschlie�ende Mitteilung f�r die Zahlung des nicht beanspruchten Preisgeldes

Samstag, 19. Januar 2019

Ja ja, ich weiß, das hirnt alles ganz schön mit dem richtigen Encoding. Aber ein Spammer frickelt halt ein bisschen herum, der will ja nicht nachdenken, der will ja spammen. Zum Beispiel, um seinen Vorschussbetrug einzuleiten, damit er auch weiterhin Geld für den Puff hat. Und wenn er dann mal ein paar Millionen Spams rausgehauen hat, die zerschossen aussehen und voller peinlicher Fehler sind, dann korrigiert er eben ein bisschen und versendet nochmal ein paar Millionen Spams. Es kostet ja nichts, Spam zu versenden. Und es belastet ja nur die Server anderer Leute.

Von: DANIEL RODRIGUEZ <danilerodriguez@gmail.com>

Kenne ich nicht.

ANWALTSKANZLEI
AV/DE GRAN VIA NO.38, 28008 MADRID ESPAСA
TEL: 0034 657 118 xxx. FAX: +34 917 905 xxx
E-MAIL: rodriguezdaniellawfirm@fastservice.com

Aha, die spezielle „Anwaltskanzlei“, bei der man besser nicht in der Mailsoftware auf „Antworten“ klickt, um an die Absenderadresse zu antworten, weil der Absender gefälscht ist. 😀

Aus Madrid. Also aus demjenigen Мадрид, wo sich…

Sehr geehrter Begьnstigter

…kyrillische Kringel in den Text mischen, wenn man diese lustigen deutschen Vokale mit den Pünktchen drüber schreiben will.

AbschlieЯende Mitteilung fьr die Zahlung des nicht beanspruchten Preisgeldes

Das hast du schon im Betreff gesagt! Aber da war es noch ein bisschen zerschossener, damit man gleich sieht, dass deine Spam krimineller Sondermüll ist.

Wir mцchten Sie informieren, dass das Bьro des nicht Beanspruchten Preisgeldes in Spanien, […]

Die haben ja Büros in Spanien. :mrgreen:

[…] unsere Anwaltskanzlei ernannt hat
als gesetzliche Berater zu handeln, in der Verarbeitung und der Zahlung eines Preisgeldes, das auf Ihrem Namen
wurde, und nun seit ьber zwei Jahren nicht beansprucht wurde.

Toll, das ist zwar irgendwas „auf meinem Namen“, aber ich werde als „Sehr geehrter Begünstigter“ angesprochen. Und nein, mein Nachname lautet nicht „Begünstigter“.

Der Gesamtbetrag der ihnen zusteht betrдgt momentan Ђ2,500,000.00

Aha, in diesem Spanien verwendet man nicht das Währungssymbol €, sondern das Währungssymbol Ђ. Das wusste ich ja noch gar nicht. 😀

Der Qualitätsdolmetscher, der diesen Text aus einer nicht mehr leicht identifizierbaren Ausgangssprache ins Deutsche übertragen hat, hat auf seiner Dolmetscherschule übrigens nicht gelernt, wie man im Deutschen diese Sache mit den Punkten und dem Komma bei Zahlen macht. Das ist ganz nicht so unwichtig, wenn es um Gelddinge geht.

Aber dieser Qualitätsdolmetscher…

Das ursprьngliche Preisgeld betrag Ђ1,800,000.00 Euros. Diese Summe wurde fьr nun mehr als zwei Jahre,Gewinnbringend
angelegt, daher die aufstockung auf die oben bennante Gesammtsumme. Entsprechend dem Bьros des nicht Beanspruchten
Preisgeldes, wurde dieses Geld als nicht beanspruchten Gewinn einer Lotteriefirma bei ihnen zum verwalten niedergelegt und in
ihrem namen versichert. Nach Ansicht der Lotteriefirma wurde ihnen das Geld nach einer Weihnachtsfцrderunglotterie
zugesprochen. Die Kupons wurden von einer Investmentgesellschaft gekauft. Nach Ansicht der Lotteriefirma wurden sie damals
Angeschrieben um Sie ьber dieses Geld zu informieren, es hat sich aber leider bis zum Ablauf der gesetzten Frist keiner gemeldet
um den Gewinn zu Beanspruchen. Dieses war der Grund weshalb das Geld zum verwalten niedergelegt wurde. GemдЯ des
Spanischen Gesetzes muss der inhaber alle zwei Jahre ьber seinen vorhanden Gewinn informiert werden. Sollte dass Geld wieder
nicht beansprucht warden, wird der Gewinn abermals ьber eine Investmentgesellschaft fьr eine weitere Periode von zwei Jahren
angelegt werden.Wir sind daher, durch das Bьro des nicht Beanspruchten Preisgelds beauftragt worden sie anzuschreiben. Dies
ist eine Notifikation fьr das Beanspruchen dieses Gelds.

…war generell in einem eher schläfrigen Zustand, als er sein Deutsch gelernt hat. Und natürlich, als er diesen Text geschrieben hat. 😀

Und hui! Worin wurde das Geld angelegt? Eine Rendite von beinahe zwanzig Prozent im Jahr in diesen Zeiten von Niedrig- und gar Negativzinsen! Das kann eigentlich nur der brummende Investmentfont der Mafia gewesen sein, mit dem Menschen- und Drogenhandel finanziert wird. 😀

Ja, diese Spam endet hier. Es gibt keinen weiteren Text. Aber dafür hat die Spam einen Anhang mit einem PDF-Dokument¹. Hat der Spammer in seinem Wodkakopf doch noch einen Anfall von Streben nach gestalterischer Exzellenz gekriegt? Mal schauen – oh, das hat ja zwei Seiten:

Erste Seite des PDF-Anhanges der Spam mit dem angeblichen Lotteriegewinn zur Einleitung eines Vorschussbetruges

Zweite Seite des PDF-Anhanges der Spam mit dem angeblichen Lotteriegewinn zur Einleitung eines Vorschussbetruges

Zu schade für den Spammer! Da wollte er so ein toll gesetztes PDF machen, aber der Rahmen um das Antwortformular ist ihm irgendwie, als der besoffene Kopf mal wieder auf die Maus gefallen ist, mitten in den Text gerutscht. Da er in seinem Computerkurs noch nicht gelernt hat, was der Menüpunkt „Rückgängig“ bedeutet, hat er dann einfach „Fuck it!“ gesagt, es so gelassen und an ganz viele Spams angehängt. Das ist schon bitter, wenn man immer so viel Pech beim Denken hat wie diese Spammer mit ihrer Lotterieglücknummer bei diesen Spamlotterien, bei denen man keine Lose kaufen muss… :mrgreen:

¹Es ist generell eine ganz schlechte Idee, Anhänge einer E-Mail zu öffnen, wenn diese nicht vorher ausdrücklich über einen anderen Kanal als E-Mail vereinbart wurden und/oder der Absender der E-Mail jenseits jedes vernünftigen Zweifels feststeht, weil die E-Mail digital signiert wurde und man diese Signatur auch überprüft hat. Das bisschen befriedigte Neugierde ist den möglichen Ärger nicht wert. Dettelbach ist überall. Ich öffne solche PDF-Anhänge übrigens niemals im Adobe-Reader, sondern importiere sie in das Grafikprogramm Gimp. Das ist auch nicht völlig sicher, aber zumindest zurzeit deutlich risikoloser. Denn die spammenden Verbrecher sind faul. Sie denken nicht an alles, sondern an den verbreiteten, häufigen Fall, wenn sie eine Schadsoftware verbreiten wollen, nämlich an ein Microsoft Windows, auf dem ein Adobe Reader läuft.