Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.


Schlagwortarchiv „Anhang“

Zu Händen des Begünstigten

Samstag, 25. Juni 2022

Oh, ein Qualitätsbetreff! 🏆️

Von: Mr. Tony Elumelu <heidrunheinrich13@gmail.com>
Antwort an: www.info.ubabankcard.TG@gmail.com
An: undisclosed-recipients: ;

Oh, Qualitätsheader! 🥇️

Der Absender ist gefälscht, die Antwortadresse wurde kostenlos und anonym bei GMail eingerichtet, dem dicksten Freund des Spammers und Betrügers und diese Spam geht an ganz viele Empfänger auf einmal. So etwas wird bei mir aussortiert und landet in der Schüssel für Sieger. 🚽️

Na, was erwarte ich jetzt? Richtig, ich erwarte eine lächerliche Mail zur Einleitung eines Vorschussbetruges. 😩️

Aber diese Mail hat gar keinen Text. 🕳️

Ich war schon dabei, diese Spam zu löschen, als ich bemerkte, dass sie ja noch einen Anhang hat:

$ ls -lh *.doc
-rw-rw-r-- 1 elias elias 29K Jun 25 13:46 'Zu Händen des Begünstigten.doc'
$ file Zu\ Händen\ des\ Begünstigten.doc | sed 's/,/\n/g' | sed 's/^[[:space:]]*//g'
Zu Händen des Begünstigten.doc: Composite Document File V2 Document
Little Endian
Os: Windows
Version 6.1
Code page: 1252
Author: BIG MAN
Template: Normal
Last Saved By: BIG MAN
Revision Number: 1
Name of Creating Application: Microsoft Office Word
Total Editing Time: 02:00
Create Time/Date: Fri Jun 24 15:28:00 2022
Last Saved Time/Date: Fri Jun 24 15:30:00 2022
Number of Pages: 1
Number of Words: 451
Number of Characters: 2577
Security: 0
$ _

Hui, 451 Wörter von „Big Man“. 😎️

Warum der seinen Text nicht in die Mail schreibt? Warum der lieber ein Office-Dokument anhängt, das hoffentlich kein vernunftbegabter Mensch mehr aufmacht, weil es einfach nur gefährlich ist? Warum der 451 Wörter in zwei Minuten raustippen kann, also im Schnitt 3,76 Wörter pro Sekunde? Wer ihm damals die Schaukel viel zu nahe an der Wand montiert hat? Alles Fragen, die ich auch nicht beantworten kann. 🤔️

⚠️ Ich kann nur warnen: Dettelbach ist überall! Niemals ein Office-Dokument öffnen, das unverlangt oder von einem Unbekannten mit einer E-Mail versendet wurde. Office-Dokumente für Microsoft Office können Makros enthalten. Das sind Programme, die der Autor des Dokumentes hinterlegt hat. Diese Programme können alles, was eine EXE kann. Sie können ausgeführt werden, wenn man das Dokument öffnet. Ein Großteil der heutigen Schadsoftware wird über Office-Makros verbreitet. Ich weiß auch nicht, wer den Entscheidern bei Microsoft ins Gehirn geschissen hat, als sie die Entscheidung getroffen haben, in jedem Dokument einen schön eingerichteten Platz vorzusehen, in dem ein Krimineller eine Bombe legen kann, aber sie haben diese Entscheidung getroffen, und wir müssen alle damit leben. Deshalb öffnet man derartige Dokumente nicht, wenn man sich nicht davon überzeugt hat (im Zweifelsfall durch ein Telefongespräch, denn der Absender einer nicht digital signierten E-Mail kann beliebig gefälscht sein), dass sie aus einer vertrauenswürdigen Quelle kommen. Und man öffnet sie erst recht nicht im Falle einer solchen klaren Spam. 💣️

Dann kann man auch nicht durch weitere Überrumpelungsversuche dazu gebracht werden, dass man die Sicherheitsfunktionen seines Microsoft Office abschaltet, falls sie überhaupt noch eingeschaltet sind.

Wer mir das nicht glauben will, wende sich doch an die Polizei. Aber keine unabgesprochen oder von Unbekannten zugesandten Office-Dateien im Mailanhang aufmachen! Das wäre dümmer, als die Polizei erlaubt. 👮️

Ich habe mir diesen Anhang etwas genauer angeschaut und habe ihn anschließend in LibreOffice geöffnet – und natürlich habe ich hier kein Windows, das Lieblingsbetrübssystem der Kriminellen. Das Dokument enthält keine Makros. Es wurde einfach nur ein Word-Dokument genommen, damit der Spammer sein Dokument schön formatieren konnte. 👨‍🎨️

Und weia, hat der Vorschussbetrüger dieses Dokument schön formatiert! 🎨️

Es sieht so aus:

Zu Händen des Begünstigten, Diese E-Mail-Benachrichtigung erhalten Sie direkt vom Team des Büros des Ausschusses für Betrugsbekämpfung der Afrikanischen Union (AU) Republik Togo in Zusammenarbeit mit der Dienststelle der Vereinten Nationen (UN) Lome-Togo, Besoldungsgruppe P-4 Anzahl der Post-AF / RP/RDBCPN/SHS/0001.in Bezug auf die umfangreiche Razzia (Verhaftungen) von Internetbetrügern. Aufgrund der hohen Anzahl von Beschwerden, die wir von den Vereinten Nationen (UN) auf der Ebene von Betrügern / Betrügern mit afrikanischer Nationalität erhalten haben. Alle Internet Service Provider hatten die Zunahme des E-Mail-Verkehrs von Afrika zu anderen Kontinenten festgestellt. -- Bei dieser Razzia wurden bisher dreihundertsechs (306) Betrüger festgenommen, und die Razzia dauert noch an. Wir haben die volle Summe von 857 Millionen Dollar wiedererlangt, sowohl in bar als auch in Vermögenswerten, die nachweislich von seinen Opfern stammen. Wir haben die E-Mail-Adressen von Hunderttausenden von Opfern aus ihren Adressbüchern gefunden. Zu diesem Zeitpunkt kontaktieren wir Sie. -- Wir haben mehrmals erfolglos versucht, Sie zu kontaktieren, daher senden wir Ihnen diese Erinnerung ein letztes Mal, wonach die Entschädigungskommission der Vereinten Nationen keine andere Wahl haben wird, als Ihre Entschädigungssumme in Höhe von 750.000,00 $ abzuschreiben und zu vermerken. als unbeansprucht, daher antworten Sie bitte umgehend auf dieses Schreiben, um Ihre Position in dieser Angelegenheit zu klären, bevor es zu spät ist, handeln Sie schnell und befolgen Sie die Anweisungen zu Ihrem eigenen Wohl. Weitere Einzelheiten erhalten Sie, wenn Sie sich an die United Bank of Africa Lome, Togo, wenden -- „Und heute teilen wir Ihnen mit, dass Ihr Geld von der UBA Bank auf eine VISA-Karte gutgeschrieben wurde und auch zur Auslieferung bereit ist. -- Kontaktieren Sie jetzt den Generaldirektor der Banco UBA -- Name: Mr. Tony Elumelu -- E-Mail-Adresse: www.info.ubabankcard.TG@gmail.com .. Seine Einzelheiten wurden von einem der Syndikate erwähnt, das als eines ihrer Opfer der Operationen festgenommen wurde. Sie werden hiermit gewarnt, diese Nachricht aus keinem Grund an sie zu übermitteln oder zu duplizieren, da unser US-Geheimdienstagent bereits die anderen Kriminellen verfolgt. -- Senden Sie die folgenden Informationen für die Lieferung Ihrer akkreditierten VISAGeldautomatenkarte an Ihre Adresse. -- Ihr vollständiger Name, Ihr Herkunftsland, Ihre Adresse, E-Mail-Adresse, Ihre Telefonnummer, Ihr Alter, Ihr Geschlecht, Ihr Beruf -- Hinweis: Bitte melden Sie sich daher noch heute umgehend bei mir, damit wir alle erforderlichen Prozesse und Protokolle für die Freigabe Ihres Entschädigungsfonds sofort einleiten können. -- Grüße, -- Teambüro des Ausschusses für Betrugsbekämpfung der Afrikanischen Union (AU) -- Zweigstelle Republik Togo

🤣️👏️👍️🤩️‼️

Für Spamgenießer aus der Gourmet-Klasse habe ich auch ein gefahrlos zu öffnendes PDF-Dokument, auf dem die ganze Genialität und Überzeugungskraft dieses Anhanges so sichtbar wird, als hätte man das Original geöffnet. 📜️

Ich muss mich jetzt erstmal von meinen Lachschmerzen erholen. 😉️

Your PayPal account was temporary limited on: March 10, 2022 8:27 AM

Samstag, 12. März 2022

Wollt ihr nicht auch noch die Sekunden angeben?! 😁️

Dear Customer

Genau mein Name! 👏️

Your account was temporary limited, please view the attached document (PDF)

Leider hatte „PayPal“ nicht mehr genug Mailpapier herumliegen und konnte deshalb nicht in die Mail reinschreiben, um was es eigentlich in der Mail geht! Deshalb soll man klicki-klicki in eine E-Mail machen, um einen Anhang zu öffnen. Das ist immer eine ganz dumme Idee. 🚫️🖱️

Es gibt einen hundertprozentig wirksamen Schutz vor Phishing, der immer noch häufigsten Kriminalitätsform im Internet: Niemals in eine E-Mail klicken. Wenn man sich für Websites wie PayPal einfach ein Lesezeichen im Webbrowser anlegt, die Website über dieses Lesezeichen aufruft, sich dort ganz normal anmeldet und nach der Anmeldung bemerkt, dass das in der Spam behauptete Problem gar nicht existiert, hat man einen dieser gefürchteten Cyberangriffe abgewehrt. 🛡️

So einfach geht das. 👍️

Der Anhang ist…

$ file StatementX-PPL52684.pdf 
StatementX-PPL52684.pdf: PDF document, version 1.4
$ pdfinfo StatementX-PPL52684.pdf 
Creator:        Chromium
Producer:       Skia/PDF m99
CreationDate:   Thu Mar 10 17:07:49 2022 CET
ModDate:        Thu Mar 10 17:07:49 2022 CET
Tagged:         yes
UserProperties: no
Suspects:       no
Form:           none
JavaScript:     no
Pages:          1
Encrypted:      no
Page size:      1024.08 x 726 pts
Page rot:       0
File size:      47121 bytes
Optimized:      no
PDF version:    1.4
$ pdftotext StatementX-PPL52684.pdf -
Dear Customer,
Your PayPal account has been temporarily Limited. We have found suspicious activity on
credit cards linked to your PayPal account.
What's going on?
To continue using your account again, we advise you to update the infomation before 24
hours or your account will be Permanently limited.
To start using your account as usual again, please log in and follow the steps shown. This
will help us secure your account.
Login To Verify
Questions?
If you still have questions, please choose Contact at the bottom of any PayPal page to
reach Customer Service.
Sincerely,
PayPal

Copyright © 1999-2020 PayPal, Inc. All rights reserved. PayPal is located at 2211 N. First St., San Jose, CA 95131.
PayPal PPC002342:1.11:6889186f769ff

$ _

…ein PDF-Dokument, in dem ein ganz normaler, banaler Phishing-Text steht. Wer in diesem Anhang auf das Klickeknöpfchen Login to Verify klickt, landet natürlich nicht bei Paypal, sondern auf einer „liebevoll“ nachgemachten Paypal-Seite. Sämtliche Eingaben, die man dort macht, gehen direkt an Kriminelle, die dann das Konto und die Kreditkarte (die Kreditkartendaten werden routinemäßig mit abgefragt) für Betrugsgeschäfte übernehmen. Den Schaden und oft mehrjährigen Ärger hat der Mensch, der auf dieses Phishing hereingefallen ist. ☹️

Deshalb klickt man nicht in eine E-Mail. 🚫️🖱️

Und auch nicht in den Anhang einer E-Mail. Aber dafür hätte man ja schon vorher in die E-Mail klicken müssen, und das macht man nicht. 🚫️🖱️

Ansonsten ist die einzige Neuerung bei diesem PDF, dass es im Querformat kommt. Wieso der Spammer das für eine gute Idee hält, weiß ich nicht. Ich vermute aber, dass der Spammer es selbst nicht weiß. 😁️

Diese Phishing-Spam ist ein Zustecksel meines Lesers A. H.

VIEL GLÜCK, VIEL SPASS

Mittwoch, 2. Februar 2022

Huch, wie ist der Müll durch die Spamfilterung gekommen? 🤔️

Von: EUROPÄISCHE ANSPRÜCHE <support@schuetzen-wechmar.de>

Das können keine besonders hohen Ansprüche sein. 😃️

Antwort an: drdanielaragons@gmail.com

Der Klassiker: Eine kostenlos und anonym eingerichtete Mailadresse bei GMail, dem dicksten Freund des Spammers und Kriminellen, für die Antwort. Und die Absenderadresse ist natürlich gefälscht. Opfer dieses Betrügers sollen das entweder nicht bemerken oder ganz fest daran glauben, dass dann wenigstens der Rest keine Lüge ist. 🤥️

An: gammelfleisch@tamagothi.de

Im Töpfchen für Sieger! 🚽️

Sehr Geehrter Gewinner

Genau mein Name! 👏️

Wir wurden beauftragt, Ihnen zu helfen Ihr Gewinn zu beanspruche in der letzten Sitzung der European Elgordo Lottery 2021/22. Ihre Informationen wurden aus einer Online-Umfrage und Zahlungssystemen ausgewählt.

Bei normalen Lotterien kauft man ja für teuer Geld ein Los, und ein Teil der gesamten Kaufsumme wird anschließend als Gewinn ausgeschüttet. Der andere Teil landet in der Verwaltung und beim Staat, damit der Staat besser Hauptstadtflughäfen, Elbphilharmonien und tiefergelegte Bahnhöfe zum Preis eines Weltraumteleskopes bauen kann. Es handelt sich um eine Form der freiwillig gezahlten Steuer¹. Der Kauf eines Lotterieloses ist ungefähr so „intelligent“ wie der Tausch eines Hundert-Euro-Scheines gegen einen Fünfzig-Euro-Schein… und deshalb wird in der Reklame für diese Lotterien lieber von Gewinnmöglichkeiten als von der Dummheit gesprochen. Denn wer dumm ist, hält das Wahrnehmen von Gewinnmöglichkeiten für schlau. 🙃️

Dummheit war schon immer ein gutes Geschäftsmodell. Nicht erst seit Erfindung des Internet. Denn die Mutter der Dummen ist stets schwanger. 🤰️

Die Lotterien der Vorschussbetrugsspammer aus dem täglichen Posteingang müssen sich nicht finanzieren. Der ausgeschüttete Gewinn wird vom Weihnachtsmann vorbeigebracht. Niemand muss ein Los kaufen. Auch ich werde ziemlich regelmäßig Millionär. 🎅️

Aus Tausenden von E-Mails und Namen erhalten von den internationalen Umfrage und Zahlungssystemen, um Teilnahme an der Europäischen Online Elgordo Lotterie 2019/2020, Sie ein Gewinner in der Zweiter Kategorie sind mit Gewinnnummer (86148), gezogen am Mittwochs, 22. Dezember 2020, – Gewinnen betrag €4.000.000,00

Aber was haben die Daten aus Online-Umfragen (an denen ich nicht teilnehme) und Zahlungssystemen (die einem ganz besonderen Datenschutz unterliegen) jetzt mit irgendwelchen Gewinnnummern zu tun? Man muss keine besonders tiefen Gedanken denken, um so eine typische Story zur Einleitung eines Vorschussbetruges völlig absurd zu finden. 🤭️

Um Ihren Gewinn zu sehen, gehen Sie zu – www.elgordo.com. Klicken Sie auf (Result ) Ergebnisse
Dann finde und klicke auf elGordo ausgelost am Mittwochs 22. Dezember 2021

Aber da stehen nur Zahlen, nicht meine Mailadresse. 🤦‍♂️️

Aber dafür kann ich auf der verlinkten Website etwas ganz anderes lesen [Archivversion, noch eine Archivversion], wenn ich dort ein bisschen länger suche. Das sollte jeder einmal gelesen haben, der an den Gewinn in einer Lotterie glaubt, bei der er kein Los gekauft hat. 👍️

Unten ist die Information von der geprüfte und zugewiesene Rechtsanwalts/Ansprüche Agent die Sie müssen kontaktieren, um Ihnen zu helfen, Ihr Geld zu verarbeiten, das in Ihrem Namen bei der lotteriezahlenden Bank hinterlegt ist und jetzt zur Auszahlung bereit ist.

Agent name: Herr Daniel Lucia Aragon
Tel : 34 677 114 ■■■, Fax: 34 910 612 ■■■, Email: drdanielaragons@gmail.com

Rechtsanwalt / Agent Weblink: www.unabogado.es

Ich soll also allen Ernstes mit unverschlüsselter E-Mail, die offen wie eine Postkarte durch das Internet befördert wird und auf dem ganzen Weg beliebig und völlig unentdeckbar gelesen und verändert werden kann, die Modalitäten einer Auszahlung von vier Megaeuro abkaspern? Auf einer kostenlos und anonym eingerichteten Freemailer-Adresse, weil der werte Herr „Anwalt“ leider die paar (steuerlich absetzbaren) Groschen für eine eigene Domain und einen eigenen Mailserver nicht übrig hatte? Das wäre aber ganz schön doof, wenn mir deshalb jemand anders das Geld wegschnappte. 💸️

Man sieht schon: Der Absender dieser Mail ist keine staatliche Lotterie, sondern ein spammender Spezialexperte! 🥇️

Achtung!!
Um Ihrem Anspruch zu beginnen, es ist wichtig dass Sie Ihren Agenten sofort kontaktieren, und ausfüllen Sie das Formular unter und folgen Sie seinen Anweisungen für die schnelle und einfache Überweisung Ihre Gewinn.

Freundliche Grüße

Dr. Leo Fernandez Sanchez
KPMG administration.
EU-Claims

Aber so freundliche Grüße! 🎃️

Weil ein nachdenkendes Opfer den Betrug erschwert, soll man nicht nur schnell, sondern sofort machen. Und damit man auch so richtig auf allen Kanälen von einer Betrügerbande bearbeitet werden kann, soll man sich dabei auch sofort völlig datennackig machen:

KONTAKT FORMULAR

NAMEN:
ANSCHRIFT:
GEBURTSDATUM:
GESCHLECHT:
FAMILIENSTAND
BERUF:
NATIONALITÄT:
BETRAG GEWONNEN:
TELEPHONE:
MOBILE:
FAX:
E-mail:

Dumme, die sich für schlau halten, tragen einfach bei „Betrag gewonnen“ noch ein bisschen mehr als die vier Megaøre ein. Vielleicht merken die das ja gar nicht bei dieser Speziallotterie. 💰️

Unfassbar wichtig für die Auszahlung eines angeblichen Lotteriegewinnes ist natürlich das Geschlecht, der Familienstand, der Beruf, die Nationalität, die Telefonnummer und die Faxnummer. Vielleicht auch noch der Mädchenname der Urgroßmutter. Völlig unwichtig ist hingegen die Bankverbindung. 🤣️

Diese Spam hat natürlich auch einen Anhang. Es handelt sich…

$ ls -lh EA-lotteriegewinn.pdf 
-rw-rw-r-- 1 elias elias 556K Feb  2 13:52 EA-lotteriegewinn.pdf
$ file EA-lotteriegewinn.pdf 
EA-lotteriegewinn.pdf: PDF document, version 1.7
$ pdftotext EA-lotteriegewinn.pdf - | sed 20q
Sehr Geehrter Gewinner
Wir wurden beauftragt, Ihnen zu helfen Ihr Gewinn zu beanspruche in der letzten Sitzung der
European Elgordo Lottery 2021/22. Ihre Informationen wurden aus einer Online-Umfrage und
Zahlungssystemen ausgewählt.
Aus Tausenden von E-Mails und Namen erhalten von den internationalen Umfrage und
Zahlungssystemen, um Teilnahme an der Europäischen Online Elgordo Lotterie 2019/2020, Sie ein
Gewinner in der Zweiter Kategorie sind mit Gewinnnummer (86148), gezogen am Mittwochs, 22.
Dezember 2020, – Gewinnen betrag €4.000.000,00
Um Ihren Gewinn zu sehen, gehen Sie zu – www.elgordo.com. Klicken Sie auf (Result ) Ergebnisse
Dann finde und klicke auf elGordo ausgelost am Mittwochs 22. Dezember 2021
Unten ist die Information von der geprüfte und zugewiesene Rechtsanwalts/Ansprüche Agent die Sie
müssen kontaktieren, um Ihnen zu helfen, Ihr Geld zu verarbeiten, das in Ihrem Namen bei der
lotteriezahlenden Bank hinterlegt ist und jetzt zur Auszahlung bereit ist.
Agent name: Herr Daniel Lucia Aragon
Tel : +34 677 114 ■■■, Fax: +34 910 612 ■■■, Email: drdanielaragons@gmail.com
Rechtsanwalt / Agent Weblink: www.unabogado.es
Achtung!!
Um Ihrem Anspruch zu beginnen, es ist wichtig dass Sie Ihren Agenten sofort kontaktieren, und
ausfüllen Sie das Formular unter und folgen Sie seinen Anweisungen für die schnelle und einfache
Überweisung Ihre Gewinn.
$ _

…um ein 556 KiB großes PDF-Dokument, in dem noch einmal genau das Gleiche steht. Welchen Sinn das haben soll? Vermutlich glaubt der Spammer, dass seine Spam „ernsthafter“ aussieht, wenn sie einen großen und komplett überflüssigen Anhang hat. Da müssen wir einfach mal Verständnis haben. Dieser Spammer musste drei sehr harte Jahre durchleben: Die erste Klasse der Grundschule. Aber immerhin hat er später einmal in einer sinnlosen Hartz-IV-Maßnahme die Bedienung einer Textverarbeitung erlernt, und als er hörte, dass man da auch Bilder ins Dokument einbetten kann, bekam er ganz große Augen und passte einmal in seinem Leben genau auf. Und dann fing er an, lustige „offizielle“ Briefe zu basteln. Dieser PDF-Anhang ist die Speerspitze seiner Meisterschaft geworden, ein ehrfurchtgebietendes Werk, in dem Können und jahrelange Praxis kulminierten. Es sieht so aus:

So sieht das PDF aus

Da sind so viele Logos drauf! Und ein Euro-Symbol! Und ein Stempel! Mit einem Euro-Symbol! Kennen wir ja von Rechtsanwälten. Und eine Unterschrift wurde auch eingefügt, wenn man schon keine digitale Signatur hat! Wer jetzt immer noch nicht an seinen Gewinn glaubt, der hat wohl ein Gehirn. 🧠️

So schade für den Idioten, dass er nicht mehr so genau hingehört hat, als in seinem Textverarbeitungskurs über Tabellen gesprochen würde, sonst hätte er sicherlich ein „Kontakt Formular“ hinbekommen, dessen Linien am rechten Rand nicht so peinlich hin und her flattern. 😉️

Entf! 🗑️

¹Ich habe das aus polemischen Gründen etwas verkürzt. Tatsächlich sind die Lotterieerlöse zweckgebunden, so dass Steuermittel freiwerden, die nicht mehr für kulturelle Staatsaufgaben verwendet werden müssen, weil es ja Lotterieerlöse gibt.

FW;- Bank Slip For SOA AUG-2021,

Montag, 6. September 2021

Hi Dear,

Genau mein Name! 👏️

Good day,

Auch fast mein Name. Doppelt hält eben besser! 👏️👏️

Pls refer attached bank slip for SOA AUG-2021

Pls assist to check and conform received to us back by return. Thnks you

Ich kenne euch nicht einmal. Was soll ich mit eurem Bankbeleg? Und was soll ich euch zurücksenden?

Aber halten wir schon einmal fest, dass die Spam einen Anhang hat. Eine Datei mit dem Namen Bank Slip.r00, die 464 KiB groß ist. Jeder Mailanhang ist mit der Kneifzange anzufassen, selbst, wenn man den Absender zu kennen glaubt, denn die Absenderadresse einer E-Mail kann beliebig gefälscht werden. ⚠️

Thanks & Best Regards.

Nett, dass ihr euch für nichts bedankt. Das wirkt fast so höflich wie eine auf Klopapier gedruckte Liebeserklärung. 🤡️

Daisy Lien( Ms. )

Customer Service Dept.
P: (+84) 3 9983 ■■■■
87, B4 St., An Loi Dong Ward, Thu Duc, Ho Chi Minh, VietNam T: (+84) 28 3636 ■■■■ – Ext: 212
www.reallogistics.net

WCA: 98353 – JC TRANS: 110429 NVOCC/FMC: 027785 – FIATA – IATA Office: HoChiMinh – HaNoi – HaiPhong – DaNang

Ich kenne euch übrigens immer noch nicht. 👻️

Aber Zeit, sich mal den Anhang anzuschauen:

$ file 'Bank Slip.r00'
Bank Slip.r00: RAR archive data, v4, os: Win32
$ rar l 'Bank Slip.r00'

RAR 5.50   Copyright (c) 1993-2017 Alexander Roshal   11 Aug 2017
Trial version             Type 'rar -?' for help

Archive: Bank Slip.r00
Details: RAR 4

 Attributes      Size     Date    Time   Name
----------- ---------  ---------- -----  ----
    ..A....    740864  2021-09-06 03:35  K.exe
----------- ---------  ---------- -----  ----
               740864                    1

$ rar e 'Bank Slip.r00'

RAR 5.50   Copyright (c) 1993-2017 Alexander Roshal   11 Aug 2017
Trial version             Type 'rar -?' for help


Extracting from Bank Slip.r00

Extracting  K.exe                                                     OK 
All OK
$ ls -lh K.exe 
-rw-rw-r-- 1 elias elias 724K Sep  6 03:35 K.exe
$ file K.exe
K.exe: PE32 executable (GUI) Intel 80386 Mono/.Net assembly, for MS Windows
$ _

Ja, ich benutze hier eine Testversion von RAR, ich weiß…

Es handelt sich beim Anhang um ein RAR-Archiv mit der etwas unüblichen Dateinamenserweiterung .r00 – die meisten Menschen würden .rar bevorzugen, damit jedem sofort das Dateiformat klar ist. Aber unser Spammer baut halt darauf, dass der Empfänger einfach doppelklickt, weil man darauf so schön klicken kann. Ist ja nur eine Spam, was kann da schon schiefgehen. 😕️

Leute, benutzt euer Gehirn und löscht so eine Scheiße sofort! 🧠️

Praktisch immer, wenn irgendein angebliches Dokument in einem Archivformat an einer E-Mail hängt, handelt es sich um Schadsoftware. Die Spammer verwenden Archivformate, um die Virenfilterung auf dem Mailserver zu erschweren. Deshalb wurde hier vermutlich auch die etwas unübliche Dateinamenserweiterung .r00 verwendet. Kriminelle Spammer, die andere Rechner mit Schadsoftware übernehmen wollen, sind darauf angewiesen, dass ihre Spam durchkommt und auf Menschen trifft, die klicki-klicki Schadsoftware ausführen. 🖱️☣️

Das angebliche „Dokument“ erweist sich hier als eine ausführbare Datei für Microsoft Windows. Ich weiß jetzt nicht, welches Piktogramm diese .exe bekommen hat, aber wenn ich so eine Spam versenden würde, dann würde ich einfach das Piktogramm eines PDF-Dokumentes verwenden. Den wirklichen Dateitypen würden meine Opfer ja nicht sehen, den hat Microsoft ja vor ihnen verborgen, wenn sie es nicht in den Explorer-Einstellungen geändert haben¹. Und wer macht das schon? Eigentlich nur Menschen, die mit einem Computer umgehen können und nicht einfach nur eine Anwendung starten können. In einer Welt, in der ich das Bildungswesen gestalten würde, wäre das jeder Sonderschüler, und erst recht jeder Schüler mit höherem Abschluss. Es ist ja nicht so schwierig. 😡️

Und nach einem Doppelklick auf das scheinbare PDF hat man ein Programm gestartet, das einem spammende Verbrecher mit einem Vorwand als angeblichen „Bankbeleg“ zugeschoben haben. Wer das tut, kann ganz schnell einen riesengroßen Schaden anrichten. Dettelbach ist überall. Und wer sich auf sein Antivirus-Schlangenöl verlässt und glaubt, sich damit von dieser lästigen Verantwortung des Nachdenkens beim Klicken befreien zu können, ist auch schnell verlassen, denn zurzeit erkennt nur ein Viertel der gängigen Antivirus-Programme die klare Schadsoftware als eine Schadsoftware. Oder anders gesagt: An drei Viertel der gängigen Schlangenöle kommt dieser kriminelle Sondermüll vorbei, ohne dass es auch nur eine Warnung gäbe. Darauf kann man sich nicht verlassen. 😵️

Wie weiter oben schon gesagt, sollte man E-Mail-Anhänge mit äußerster Vorsicht behandeln. Wenn man den Absender kennt, einfach anrufen und bestätigen lassen, dass die Mail echt ist. Und wenn die Mail von außen kommt, dann öffnet man sie am besten unter einem anderen Betriebssystem als Microsoft Windows, wo bereits der (teilweise vor dem Anwender versteckte) Dateiname ausreicht, um dafür zu sorgen, dass beim scheinbaren Öffnen eines Dokumentes ein Programm ausgeführt wird. Antivirus-Schlangenöle helfen nicht. Die geben nur eine trügerische, gefühlte Sicherheit. ⛔️

¹Microsofts Entscheidung aus den Neunziger Jahren, einerseits den Typ der Datei im Dateinamen zu codieren und andererseits die Dateinamenserweiterung vor den Anwendern zu verbergen, dürfte seitdem einen Schaden von Milliarden, wenn nicht gar Billionen Dollar verursacht haben. Leider ist Microsoft dafür nicht haftbar. Deshalb korrigiert Microsoft diese schlechte Entscheidung auch seit einem Vierteljahrhundert nicht. Und die Menschen glauben immer noch, dass Microsoft alternativlos gute Software produziert, die man mit quasi religöser Hingabe verteidigen muss, weil es ja nichts anderes gibt. Dummheit ist eine destruktive Kraft, die bekämpft werden muss!

Payment Advice -Swift Transfer (127)ProCredit Bank Copy

Freitag, 5. Juni 2020

Den Spammern scheint ein neuer Weg eingefallen zu sein, wie man Schadsoftware an eine E-Mail hängen und an den Spamfiltern vorbeibekommen kann. Der Text dieser Spam ist einmal mehr der „gewohnte Kram“, der einen dazu bringen soll, einen Anhang zu öffnen:

Greetings,

We have done the payment. Kindly find the attached details for your reference.

Regards,
Chandrakant
Accounts

BOM-GIM Couriers & Logistics – Administrator GET IN TOUCH

BOM-GIM Corporate House
Plot no.133, Sector-8,
Gandhidham- Kutch
Gujarat -370201

+91 2836-239886-xx-xx-xx

helpdesk@bomgim.com
info@bomgim.com

Wir haben bezahlt. Einen Betrag. Irgendeinen. Eine Rechnungsnummer schreiben wir nicht in die Mail. Einen Rechnungsbetrag auch nicht. Und auch sonst nichts. Wir erwähnen auch gar nicht erst, wofür wir bezahlt haben. Und wer wir sind, machen wir auch nicht klar. Dafür formulieren wir völlig unpersönlich, damit wir diesen Text an ein paar Millionen Mailadressen schicken können. Mach schon den Anhang auf! So ein feiner Anhang… komm, mach ihn schon auf! 🐕

Kurz zusammengefasst: 🚨SCHADSOFTWAREALARM!🚨

Es ist nicht „das übliche“ .pdf.exe-Format, sondern ein für mich völlig neuer Trick im Anhang. Die angehängte Datei ist…

$ file print-out.\ \ Payments.\ TRN\ 100098947806003.img 
print-out.  Payments. TRN 100098947806003.img: UDF filesystem data (version 1.5) 'DESKTOP'
$ mkdir blah
$ sudo mount print-out.\ \ Payments.\ TRN\ 100098947806003.img blah
[sudo] Passwort für elias: 
$ ls -l blah
insgesamt 852
-r-xr-xr-x 1 nobody nogroup 872448 Jun  4 00:24 'print-out  Payments TRN 100098947806003.exe'
$ sudo umount blah
$ rmdir blah
$ _

…ein Abbild eines Dateisystems. Offenbar gibt es Computer, auf denen man so ein Dateisystemabbild durch klicki-klicki Doppelklick einfach einbindet, und dann wird wohl auch gleich ein Fenster des Dateimanagers mit dem Inhalt des „virtuellen Datenträgers“ aufgemacht. Und da liegt dann die ausführbare Datei für Microsoft Windows drin. Ein weiteres klicki-klicki, und man hat einen Computer anderer Leute auf dem Schreibtisch stehen, unter Umständen sogar ein ganzes Betriebsnetzwerk an Kriminelle übergeben. 🖱️😕

Ich wusste gar nicht, dass Microsoft Windows so „benutzerfreundlich“ geworden ist. Auf meinem Pinguin brauche ich für solche Operationen Administratorrechte. Aus guten Gründen, wie man sieht… :mrgreen:

Natürlich ist der so verpackte Anhang, der auf diese Weise wohl an den Spamfiltern vorbeigemogelt werden soll, mit an Sicherheit grenzender Wahrscheinlichkeit eine Schadsoftware.

Da stellt sich nur noch eine Frage: Wie sicher wird diese Schadsoftware wohl von den Antivirus-Schlangenölen erkannt? Lt. VirusTotal erkennen zurzeit 28 vo 60 Antivirus-Programmen den Anhang als Schadsoftware – und einige dieser Programme können nicht einmal den Dateitypen verarbeiten.

Also bitte auch weiterhin Mailanhänge als Gift betrachten und auf gar keinen Fall öffnen, wenn nicht der Absender jenseits jedes vernünftigen Zweifels klar ist! (Absenderadressen einer Mail können gefälscht sein, also auch bei bekannten Absendern besser vor dem Öffnen mal anrufen.) Dettelbach ist überall. Und Antivirus-Programme sind angesichts einer hochagilen Kriminalität nur von sehr begrenztem Nutzen.

LOTERIA INTERNATIONALE !

Mittwoch, 3. Juni 2020

Oh, schon wieder im Spamlotto gewonnen? Mal gucken, das ist bestimmt wieder ein Millionengewinn. Ich gewinne doch nie nur die hundert Euro, wenn ich schon kein Los kaufe. Oh, das ist ja eine ganz persönliche Mail mit richtig überzeugender Ansprache:

Lieber Konto Benutzername

Wir freuen uns, Sie über die Freigabe der preisgekrönten Programm Ankündigung zu informieren. Anbei ist die Originalkopie der Gewinn Gewinnbenachrichtigung.

Glückwunsch
Jose Pablo.

Ich mag ja das Wort „Originalkopie“. Das könnte von Kurt Schwitters sein. 😀

Ansonsten kommt mir diese Spam sehr vertraut vor. Die Ausrufezeichen im Betreff sind zwar etwas weniger geworden, aber dafür ist die angehängte „Originalkopie der Gewinn Gewinnbenachrichtung“ jetzt viel hübscher und dadaistisch wertvoller gestaltet. Nur echt mit Formular in MS Comic Sans, damit es auch richtig ernsthaft und wichtig aussieht!

Das angehängte PDF-Dokument in unfassbar schlechtem Layout und voller Fehler aller Art

Zur Abwechslung ist das Layout mit den im Hintergrund abgelegten spanischen Staatswappen in gnadenloser Unschärfe dermaßen mies, dass man kaum noch bemerkt, wie viele Rechtschreibfehler im Text sind, weil man den Text gar nicht mehr lesen kann. So kann man das natürlich auch machen.

Diese Spam aus dem täglichen Irrenhaus des Posteingangs ist ein Zustecksel meines Lesers A. H.

Guten Tag, lieber glücklicher Gewinner

Samstag, 1. Februar 2020

Qualitätsbetreff! 🏆

Central Loteria NacionalEuropa. Calle De Espoz Y Mina, 28012 Madrid, Spain Tel: +34 631 082 xxx Fax :+34 951 127 xxx Email: centralloteria@acx360.com

Da steht eine Adresse drin, mit einer Mailadresse zum Antworten, die nicht der Absenderadresse entspricht! Das sieht voll wichtig aus. Das muss echt sein! 🙃

Sehr Geehrter Kunde,

Krass, meinen Namen kennen die Absender auch! 👏

Abschließende Mitteilung für die Zahlung des nicht beanspruchten Preisgeldes
Wir möchten Sie informieren, dass das Büro des nicht Beanspruchten Preisgeldes in Spanien [sic!], unsere Anwaltskanzlei ernannt hat, als gesetzliche Berater zu handeln, in der Verarbeitung und der Zahlung eines Preisgeldes, das auf Ihrem Namen [Aber ich bin doch nur der „geehrte Kunde“] gutgeschrieben wurde, und nun seit über zwei Jahren nicht beansprucht wurde.
Der Gesamtbetrag der ihnen zusteht beträgt momentan 8.440.225.15 EUROS
Das ursprüngliche Preisgeld bertug 5.906.315,00 EUROS. Diese Summe wurde fuer nun mehr als zwei Jahre, Gewinnbringend angelegt, daher die aufstockung [sic!] auf die oben bennante Gesammtsumme. Entsprechend dem Büros des nicht Beanspruchten Preisgeldes [sic!], wurde dieses Geld als nicht beanspruchten Gewinn einer Lotteriefirma bei ihnen zum verwalten niedergelegt [sic!] und in ihrem namen [Was ist denn mein Name?] versichert. Nach Ansicht der Lotteriefirma wurde ihnen das Geld nach einer Weihnachtsförderunglotterie zugesprochen [Alles Ansichtssache, das mit dem Gelde!]. Die Kupons wurden von einer Investmentgesellschaft gekauft [Wir investieren in Lotterielose!]. Nach Ansicht der Lotteriefirma wurden sie damals Angeschrieben um Sie über dieses Geld zu informieren es hat sich aber leider bis zum Ablauf der gesetzten Frist keiner gemeldet um den Gewinn zu Beanspruchen. Dieses war der Grund weshalb das Geld zum verwalten niedergelegt wurde [🛏️]. Gemäß des Spanischen Gesetzes [Gesetzbuch und Paragraph Fehlanzeige!] muss der inhaber alle zwei Jahre ueber seinen vorhanden Gewinn informiert werden. Sollte dass Geld wieder nicht beansprucht werden,. wird der Gewinn abermals ueber eine Investmentgesellschaft für eine weitere Periode von zwei Jahren angelegt werden. Wir sind daher, durch das Büro des nicht Beanspruchten Preisgelds [Büros gibt das…] beauftragt worden sie anzuschreiben. Dies ist eine Notifikation für das Beanspruchen dieses Gelds.

Aber da war die Kreativität der Spammer schon wieder am Ende. Jetzt gibt es wieder millionenfach bewährten Standardtext zur Einleitung eines Vorschussbetruges, den seit Generationen ein Betrüger vom anderen abgeschrieben hat, so dass er im Laufe der Jahre immer dümmer wurde. Immerhin haben sie sich diesmal neue „Beträge, die mir zustehen“ ausgedacht. Es war für die Spammer sicherlich intellektuell sehr fordernd, sich ein paar bedeutungslose Zahlen auszudenken. 🧠

Ansonsten ist es eben diese Weihnachtsförderungslotterie, für die man niemals ein Los kaufen muss, damit dieses viel zu unbekannte und von niemanden gefeierte Weihnachten mal ein bisschen gefördert werde. Das macht der Weihnachtsmann von einer Investmentgesellschaft. 🎅

Wir möchten sie darauf hinweisen, dass die Lotterie Gesellschaft überprüfen und bestätigen wird ob ihre Identität uebereinstimmt bevor ihnen ihr Geld ausbezahlt wird. Wir werden sie beraten wie sie ihren Anspruch geltend machen. Bitte setztzen sie sich dafuer mit unserer Deutsch Sprachigen Rechtsanwaeltin in Verbindung DR. ANGELO FERNANDO TEL. +34 631 082 xxx : FAX. +34 951 127 xxx . E-MAIL- centralloteria@acx360.com. ist zustaendig fuer Auszahlungen ins Ausland und wird ihnen in dieser sache zur seite stehen. Der Anspruch sollte vor den 15-02-2020 geltend gemacht werden, da sonst dass Geld wieder angelegt werden wuerde. Wir freuen uns von Ihnen zu hören, während wir Ihnen unsere Rechtshilfe Versichern.

Meine Identität muss noch übereinstimmen? Aber ich bin doch der „liebe, glückliche Gewinner“ ohne Namen und ohne alles und der „sehr geehrte Kunde“ ohne Namen und ohne alles, was will man da noch überprüfen. Das passt auf jede handelsübliche Amöbe. 🤦

Allerdings könnte es sein, dass besser gebildete Amöben zu klug wären, um auf einen dermaßen primitiv vorgetragenen Betrug reinzufallen. 😉

Mit freundlichen Grüßen
Loteria Naciona Estado

Ich kann kein Wort spanisch, aber ich bin mir sicher, dass das Adjektiv „nacional“ lautet. Und freundliche Grüße von der Nationalstaatslotterie klingen vermutlich in jeder Sprache dieser Welt ein bisschen lächerlich. Das ist ja auch der Grund dafür, dass man sich in jedem Staat lustige, reklamemächtige Wörter ausgedacht hat, wenn man den Einwohnern des Staates die Möglichkeit geben will, über staatliche Lotterielose noch einmal völlig freiwillig eine Steuer auf die eigene Idiotie und dumme Gier abzudrücken. Als ob man nicht genug Steuern zahlte! 🤑

So, jetzt muss ich aber erstmal die Identität klarstellen, die hinterher mit mir verglichen wird, um mir die 8,4 Megaøre für den lieben Kunden auszuzahlen. Das mache ich, indem ich mich mal kurz vor einem Spammer hinstelle und mich so gründlich datennackt mache, dass man damit noch einen Identitätsmissbrauch für diverse weitere Betrugsgeschäfte machen könnte. Weil mir der Spammer so schöne Spams schreibt, in denen mir so schönes Geld versprochen wird.

ANMELDEFORMULAR FÜR DEN GEWINNANSPRUCH

Bitte geben Sie die folgenden Informationen, wie unten gefordert, faxen es zurück [sic!] an unsere Büro sofort für uns in der Lage zu sein die Legalisierung Prozess [sic!] Ihrer Personliche investiertes Preisgeld zu vervollständigen, und das Geld wird Ihnen von der La Caixa Int Bank ausgezahlt. Alle Prozess Überprüfung [sic!] durch unsere Kanzlei ist für Sie kostenlos, weil unsere Kosten werden von der internationalen Lotto Kommission am Ende des Prozesses zu zahlen [sic!], wenn Sie Ihr Geld erhalten. Wenn Sie nicht die erforderlichen Informationen vor der Zeit gegeben hat, können ist Anwaltskanzlei nicht haftbar gemacht werden, wenn Ihr Geld reinvestiert wurde.

Dieser Mitautor des zusammengepflasterten Machwerkes schreibt ja wie ein Russe, der ein bisschen Deutsch gelernt hat. 😉

Ein Bestätigungsschreiben wird Ihnen gefaxt werden sofort wenn wir komplette Überprüfung der Informationen die Sie uns zur Verfügung stellen habe, Ich werde die Investmentbank unverzüglich über die von Ihnen angegebene Informationen zu kommen, bevor sie werden mit Ihnen Kontakt aufnehmen für die aus Zahlung [sic!] von Ihrem Geld. Ihre Daten werden vertraulich gehalten nach der Europäischen Unionn Datenschutzrecht.

Aber ich habe gar kein Faxgerät. Und ich werde mir auch keines zulegen. Na, will ich mal froh sein, dass es im Internetzeitalter nicht mehr Telex ist. Oder Brieftaube. Oder Rauchzeichen. 😉

VORNAMEN:
NAMEN:
REFERENZ No: 79140/5102506011
GEWINN-SUMME:
ANSCHRIF:
POSTLEITHZAHL:
ORT:
BERUF
TELEFON:
GEBURTSDATUM:
EMAIL:
DATUM:

Unendlich wichtig für die Auszahlung eines Geldbetrages (zum Beispiel durch versicherte Zustellung eines Schecks oder SEPA-Überweisung) ist die Kenntnis meines Berufes, meiner Telefonnummer, meines Geburtsdatums. Die Mailadresse, an die die freundlichen Klappspaten aus der lodernden Hirnhölle ihre Gewinnbenachrichtung mit der angegebenen Referenznummer 79140/5102506011 versendet haben, kennen sie leider schon nicht mehr. Das ist vermutlich dieses „Europäische Unionn Datenschutzrecht“, die haben sie bestimmt gleich wieder gelöscht. 👍

Moment, früher hing an diesen Müllmails doch auch immer ein lustiger Anhang. Ja, da ist auch noch ein lustiger Anhang mit einem lustigen Dateinamen:

$ ls -lh *.pdf
-rw-rw-r-- 1 elias elias 569K Feb  1 14:40 'GEWINNENDE MITTEILUNG_.pdf'
$ _

Ein PDF-Dokument. 570 KiB Datenmüll mit einer an sich wohlformatierbaren Gewinnnachricht. Hier werden die Spammer sicherlich ihren Gestaltungswillen mal so richtig ausgetobt haben. Das sieht sicherlich viel überzeugender aus als diese dumme Mail zur Einleitung eines Vorschussbetruges. Nun ja, es sieht eben aus:

So sieht das angehängte PDF-Dokument mit der Gewinnmitteilung aus

Ich weiß zwar nicht, was sich die Idioten von Spammern davon versprechen, wenn sie ihren Strunztext noch ein zweites Mal in Form eines fetten und brutalstmöglich gestalteten PDFs an die Spam hängen, aber sie werden sich sicherlich etwas davon versprechen. 😂

Es kann ja auch nicht jeder Glück beim Denken haben! 🍀

USA / ATOMKRIEG – Amen

Mittwoch, 15. Januar 2020

Auf gar keinen Fall den Anhang öffnen! Das Word-Dokument enthält Makros, die Schadsoftware nachladen und installieren, danach hat man einen Computer anderer Leute auf dem Schreibtisch stehen.

So so, Amen! So sei es! Zum Atomkrieg. Komm, Spammer, nimm mal wieder deine Medikamente! 💊

Oh, du kannst aber „schöne“ Bilder basteln:

Es ist gar keine Frage, daß ein Atomkrieg denkbar ist

ATOMKRIEG -- Foto eines Atompilzes -- Die Angst vor einem Atomkrieg ist zurück -- Die 'dunkle Bedrohung' sei zurück, mahnen Experten auf der Sicherheitskonferenz in München. Experten fürchten, dass wir dicht an einer potenziellen nuklearen Katastrophe stehen. -- WAS ZU TUN IST? -- Wir haben 20 nützliche Tipps für Sie zusammengestellt. -- (Alle Informationen in der angehängten Datei) -- ACHTUNG! NICHT IGNORIEREN! -- Dein Leben hängt davon ab -- Gott hilf uns!

Der Anhang, den zu öffnen man derart eindringlich aufgefordert wird, als hinge das ganze Leben davon ab, ist ein Dokument für Microsoft Word. Dieses Dokument besteht aus einer einzigen, völlig leeren Seite. Und natürlich noch aus…

Screenshot des Dialogfensters, das beim Öffnen des Dokumentes mit Libre Office angezeigt wird. -- Dieses Dokument enthält Makros. -- Makros können Viren enthalten. Die Ausführung dieser Makros wird aufgrund der aktuellen Makrosicherheits-Einstellung unter Extras - Optionen - LibreOffice-Sicherheit unterbunden. -- Manche Funktionen stehen daher möglicherweise nicht zur Verfügung. -- [OK]

…ein paar Makros, die beim Öffnen des Dokumentes in Microsoft Word automatisch ausgeführt werden sollen. Der Warnung, die ich hier als Screenshot von LibreOffice wiedergegegeben habe, ist nur eines hinzuzufügen: Wenn einem ein Dokument mit so viel Psychodruck in einer Spam reingedrückt werden soll, dann ist es sogar sicher, dass die Makros Schadsoftware sind. 💀

Und solche Deklarationen von Windows-API-Funktionen, wie ich sie eben gerade in diesen Makros gefunden habe, werden wirklich niemals in einem normalen Dokument benötigt:

Private Declare Function URLDownloadToFile Lib "urlmon" Alias _
  "URLDownloadToFileA" (ByVal pCaller As Long, ByVal szURL As String, ByVal _
    szFileName As String, ByVal dwReserved As Long, ByVal lpfnCB As Long) As Long
Private Declare Function CreateProcess Lib "kernel32" Alias "CreateProcessA" (ByVal lpApplicationName As String, ByVal lpCommandLine As String, lpProcessAttributes As Any, lpThreadAttributes As Any, ByVal bInheritHandles As Long, ByVal dwCreationFlags As Long, lpEnvironment As Any, ByVal lpCurrentDriectory As String, lpStartupInfo As STARTUPINFO, lpProcessInformation As PROCESS_INFORMATION) As Long
Private Declare Sub GetStartupInfo Lib "kernel32" Alias "GetStartupInfoA" (lpStartupInfo As STARTUPINFO)

Ich hoffe, dass spätestens jetzt auch jeder verstanden hat, dass ein Makro für Microsoft Office alles kann, was ein ausführbares Programm – eine .exe – für Microsoft Windows auch kann. Das Öffnen eine Office-Dokumentes mit freigeschalteten Makros aus fragwürdiger Quelle ist ganz genau so gefährlich wie das Ausführen eines Programmes aus fragwürdiger Quelle. Wer das macht, geht an den Computer so heran, wie unerfahrene Teenager an die Sexualität: Schnell, einfach und gefährlich. Ich hoffe mal, dass die meisten Computernutzer etwas reifer sind. 😉

Weder muss ein legitimes Makro Dateien aus dem Internet nachladen können, noch muss es einen neuen Prozess erzeugen können, noch muss es an die Verwaltungsinformationen des Betriebssystemes für den neuen Prozess kommen. Das wird in dieser Kombination nur benötigt, wenn eine Datei aus dem Internet nachgeladen werden soll, um dann möglichst unsichtbar ausgeführt werden zu können. Es handelt sich um völlig klare Schadsoftware. Diese wird zurzeit nur von einem Viertel der gängigen Antivirus-Schlangenöle erkannt, wer sich darauf verlässt, ist also einmal mehr verlassen. 🙁

Das ist ja auch der Grund, weshalb man trotz Antivirus-Schlangenöl keine Anhänge aus einer E-Mail öffnet, die nicht vorher über einen anderen Kanal abgesprochen wurden oder deren Absender durch eine überprüfte digitale Signatur jenseits jedes vernünftigen Zweifels feststeht und vertrauenswürdig ist. Die Absenderadresse ist beliebig fälschbar und reicht nicht aus. Man öffnet Anhänge auch nicht, oder besser erst recht nicht, wenn ein Spammer in seiner Spam behauptet, es sei ogottogott jetzt wirklich lebenswichtig, dass man den Anhang öffne. Wenn etwas so wichtig ist, kann man es auch einfach in die Mail hineinschreiben und braucht nicht umständlich einen Anhang dranzuhängen. 😉

Wer das kann, sollte die Ausführung von Makros in Office-Programmen ausschalten. Dies ist bei gewöhnlicher Benutzung mit keinem Funktionsverlust verbunden, aber schließt ein großes Sicherheitsloch, das immer wieder von solchen Halunken wie diesem heutigen Atomspammer ausgebeutet wird. Leider gibt es viele betriebliche Umfelder, in denen das gar nicht so einfach möglich ist, weil Geschäftsprozesse teilweise in Office-Makros programmiert wurden. Ja, das war eine dumme Entscheidung, aber damals in den Neunziger Jahren hat niemand auf mich gehört, als ich davor gewarnt habe, und heute ist es zu spät. Da habt ihr den Salat, und zwar genau so, wie ihr ihn bestellt habt! Da hilft nur noch äußerste Vorsicht in einem unnötig gefährlich gemachten Umfeld.