Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.


Schlagwortarchiv „Anhang“

Konto-Status

Dienstag, 19. Januar 2016

Nein, diese E-Mail kommt nicht von PayPal. Sie hat niemals einen Server von PayPal gesehen. Es handelt sich um Phishing. Wer Daten eingibt und absendet, übergibt sie an Kriminelle.

Von: service (at) paypol (punkt) co

Fast richtig!

Hey Spammer, wenn du schon einen Absender fälschst, kannst du es auch gleich richtig machen. Ach, da bist du zu doof für?! Oder du weißt gar nicht, dass das geht?! Gut so!

Lieber PayPal Kunde,

Genau mein Name! :mrgreen:

Aufgrund der jüngsten betrügerischen Aktivitäten haben wir ein neues Online-Sicherheitssystem für den maximalen Schutz der persönliche Daten unserer Kunden gestartet.

Wie, PayPal hat betrogen?! :mrgreen:

Nach dieser Tatsache, wird Ihnen angeboten, ihr PayPal-Konto zu aktualisieren.

Aha, die programmieren sich da einen zurecht, aber sie sind nicht dazu imstande, einfach mal ein paar Daten zu konvertieren (zumal sie das mit an Sicherheit grenzender Wahrscheinlichkeit gar nicht müssten), und deshalb muss man alles noch einmal eingeben. Sehr glaubwürdig!

Um Ihr PayPal-Konto zu aktualisieren, liegt Ihnen in Ihrer E-Mail Adresse ein Formular zur Verfügung.

Tja, im Rest der deutschsprachigen Welt spricht man von einem Mailanhang. 😀

Bitte laden Sie das Formular aus, rufen Sie über Ihren Internet-Browser und folgen Sie den Anweisungen auf dem Bildschirm.

So so, „das Formular ausladen“. Das ist mal wieder ein Qualitäts-Spamdeutsch heute!

Apropos Deutsch:

Detail aus dem Mailanhang mit einer nachgemachten PayPal-Loginmaske und einem Button 'New anmelden'.

„New anmelden“ ist nicht die gelungendste aller Eindeutschungen. :mrgreen:

Hinweis: Das Formular muss in einem modernen Browser geöffnet werden, dass JavaScript aktiviert hat. (z.B. Internet Explorer, Mozilla Firefox)

Klar, ganz wichtig! Denn der Spammer schreibt da nicht so gern die Domain seines Phishing-Servers, an den die Daten alle gehen, direkt und im Klartext rein. Sonst kennt den bald jeder Spamfilter. Und das wäre schlecht für das „Geschäft“ des Spammers.

Nach Abschluss dieser Phase wird die Aktualisierung Ihres PayPal-Kontos normal funktionieren.

Vorher übrigens auch. 😀

Wir entschuldigen uns für die Unannehmlichkeiten und danken Ihnen für Ihre Zeit.
Für weitere Informationen kontaktieren Sie bitte den Kundenservice.

Oh, wie höflich! Und…

Mit freundlichen Grüßen,

PayPal-Team.

…freundlich sind die auch noch! Aber PayPal ist das nicht.

Warum da nicht ein Link auf eine Phishing-Seite gesetzt wurde, sondern ein Anhang gemacht wurde, obwohl das irgendwie verdächtig aussieht? Ganz einfach: Selbst bei Menschen mit restriktiv konfiguriertem Browser gibt es oft Ausnahmen für lokale Dateien.

PayPal würde das übrigens niemals so machen. Warum nicht? Aus Sicherheitsgründen. Was das mit Sicherheit zu tun hat? Ich will es mal so sagen: Hier könnt ihr überprüfen lassen, ob euer PayPal-Passwort sicher genug ist.

Wer drauf reingefallen ist, hat das Wichtigste schon gelesen – für alle anderen: Ein Passwort ist eine Sicherheitsmaßnahme, die nur dann funktioniert, wenn das Passwort ausschließlich dort verwendet wird, wo es Zugang gewähren soll und niemals irgendwo anders. Im Falle des PayPal-Passwortes ist das die Login-Seite auf der Website von PayPal. Und sonst nirgends. Niemals! Wenn das Passwort nur ein einziges Mal an einer anderen Stelle eingegeben wurde, ist es als kompromittiert zu betrachten und sollte sofort geändert werden.

Eigentlich eine Banalität und Selbstverständlichkeit.

Aber eben auch eine der wichtigsten Maßnahmen für die Sicherheit bei passwortgeschützten Diensten.

10.12.2015_13_17.xls

Donnerstag, 10. Dezember 2015

Weil es im Moment mal wieder so unglaublich viel davon gibt, hier mal eine richtig langweilige Spam.

Die Spam hat einen gefälschten Absender, in meinem Fall aus der Domain @icloud.com. Der Betreff ist ein absurder, technisch anmutender Dateiname. Es steht kein Text in der Mail, so dass sich der Spammer der Aufgabe entledigt hat, sich eine Anrede und irgendeine Geschichte ausdenken zu müssen.

Mein Exemplar der Spam kam von einer dynamisch vergebenen IP-Adresse eines Telekommunikationsunternehmens aus New Delhi – also mit hoher Wahrscheinlichkeit von einem mit Trojanern kriminell übernommenen Computer.

Der „Inhalt“ dieser Spam ist ihr Anhang.

Dieser Anhang ist – in diesem Fall – eine Datei für Microsoft Excel; ich habe aber auch vergleichbare Spam mit Word-Dokumenten. Diese Excel-Datei hat eine Menge bemerkenswerter Besonderheiten, so wurde sie zum Beispiel…

Screenshot meines Terminals mit der Ausgabe von file 10.12.2015_13_17.xls -- 10.12.2015_13_17.xls: Composite Document File V2 Document, Little Endian, Os: Windows, Version 6.2, Code page: 1251, Author: 1, Last Saved By: 1, Name of Creating Application: Microsoft Excel, Create Time/Date: Thu Dec 10 08:05:38 2015, Last Saved Time/Date: Thu Dec 10 08:07:13 2015, Security: 0

…von einem Autor mit dem schönen Namen 1 verfasst, der sich nur etwas mehr als anderthalb Minuten Zeit dafür genommen hat. Damit dürfte bereits geklärt sein, welchen „Wert“ die „Inhalte“ in dieser Excel-Mappe haben.

Dokumente für Microsoft Office können allerdings Makros enthalten. Hierbei handelt es sich um Programme, die im Dokument hinterlegt sind (was übrigens sehr praktisch sein kann, aber leider – wie in diesem Fall – auch sehr gefährlich ist). Es ist sogar möglich, derartigen Code so zu hinterlegen, dass er beim Öffnen des Dokumentes automatisch ausgeführt wird, und genau das ist hier auch der Fall.

Oder kurz gesagt: Es handelt sich um das reinste Gift! Wer die Datei öffnet, hat hinterher einen Computer anderer Leute auf dem Schreibtisch stehen. Leider wird dieses Gift im Moment nur von einem Bruchteil der Antivirus-Schlangenöle erkannt.

Aber zum Glück sollte jeder Mensch dazu imstande sein, eine derartig schlecht gemachte Spam selbst als Spam zu erkennen und sie zu löschen, ohne darin herumzuklicken.

Generell rate ich zur äußersten Vorsicht bei E-Mail-Anhängen, die ohne explizite vorherige Absprache zugesendet wurden, da E-Mail-Anhänge ein sehr häufig verwendeter Weg zur Verbreitung von Schadsoftware sind. Niemals einen Anhang von Unbekannten öffnen; immer darüber klar sein, dass der Absender einer E-Mail beliebig gefälscht werden kann; auch bei E-Mail von persönlich bekannten Absendern immer telefonisch rückfragen, bevor ein Anhang geöffnet wird! Und vor allem: Niemals blind auf Antivirus-Programme verlassen, immer selbst aufmerksam sein! Denn die Antivirus-Programme erkennen nur Schädlinge, die schon eine Zeitlang im Umlauf sind und scheitern an der jeweils aktuellen Brut der Kriminellen.

Nachtrag:

Wer es mir nicht glaubt, glaubt es vielleicht der Redaktion von Heise Online:

Gefährliche E-Mail von Oma

Einige Leser melden zudem, dass sie auch von Bekannten und Verwandten E-Mails mit bösartigem Dateianhang erhalten haben. Man sollte den Anhang also selbst bei einem bekannten Absender nicht gleich abnicken. Denn oft nutzen Ganoven gekaperte E-Mail-Konten für ihre Zwecke und kopieren das Adressbuch des übernommenen Accounts gleich mit.

Niemals einen Mailanhang öffnen, der nicht explizit abgesprochen war! Auch nicht, wenn man den „Absender“ persönlich kennt! Die Absenderadresse einer E-Mail kann beliebig und sehr leicht gefälscht werden; Daten aller Art haben die Kriminellen massenhaft und aus diversen Quellen eingesammelt.

Sie sind ein Gewinner

Montag, 10. August 2015

Wie, schon wieder?

Bitte offnen Sie die Anlage.
Die angehangte Datei ist sicher pdf-Datei.

Dank
Verwaltung

Ja, die angehängte Datei ist sicher eine PDF-Datei, das sehe ich schon an ihrem Namen. Sie enthält den Text mit allen seinen Fehlern, den ich jetzt schon das siebte Jahr in solchen Mails zur Einleitung eines Vorschussbetruges lese. Aber immerhin: Das Layout wurde etwas anders gemacht. Allerdings wurde es nicht besser gemacht:

Layout des PDFs im Anhang

Was sagt man noch zu solchen Ausflüssen der Stümperei, des Nichtskönnertums und der plumpen, ungelenken Dummheit? Am besten nur noch einen kurzen, knappen Abschied.

Dank
Hirn des Lesers

Konto-Status

Donnerstag, 2. April 2015

Oh, wie schön: Etwas Phishing inmitten der ganzen Vorschussbetrüger. Bei welcher Bank bin ich denn heute mal wieder so sehr „Kunde“, dass sie nicht einmal meinen Namen kennt?

Lieber PayPal Kunde,

Ah ja, bei PayPal.

Aufgrund der jüngsten betrügerischen Aktivitäten haben wir ein neues Online-Sicherheitssystem für den maximalen Schutz der persönliche Daten [sic!] unserer Kunden gestartet.
Nach dieser Tatsache, [sic! Komischer Begriff und falsches Komma.] wird Ihnen angeboten, ihr PayPal-Konto zu aktualisieren.

Wie üblich, wenn PayPal mir schreibt, sind Grammatik, Wortwahl und Zeichensetzung ein bisschen komisch. Und wenn PayPal etwas an seiner Programmierung ändert, dann muss ich deshalb tätig werden. Ein großes Problem der Phisher ist und bleibt es, dass ihnen kaum gute Gründe einfallen, warum man jetzt seine Anmeldedaten auf einer anderen Seite als auf der Anmeldeseite eingeben sollte.

Um Ihr PayPal-Konto zu aktualisieren, liegt Ihnen in Ihrer E-Mail Adresse [sic! Deppen Leer Zeichen] ein Formular zur Verfügung [sic! Ausdruck].

Da dieser Phisher nicht so wirklich gut deutsch kann, weiß er auch nicht, wie er es ausdrücken soll, dass es einen Mailanhang gibt…

Bitte laden Sie das Formular aus [sic!], rufen Sie über Ihren Internet-Browser [sic!] und folgen Sie den Anweisungen auf dem Bildschirm.

…den man öffnen, ausfüllen und beklicken soll. Es handelt sich dabei um ein HTML-Dokument mit der stolzen Größe von 177,9 KiB, das einem die Möglichkeit einräumt, die gegenüber PayPal benutzte Kombination von Mailadresse und Passwort direkt an die organisierte Internet-Kriminalität zu senden. Dem Idioten, der diesen ziemlich aufgeblähten HTML-Code mutmaßlich aus der echten PayPal-Seite schnell zusammenkopiert hat, ohne ihn auch nur halbwegs zu verstehen…

Screenshot der Darstellung der angehängten HTML-Datei im Browser

…ist leider während der Arbeit sein Wörterbuch verloren gegangen, so dass er nicht mehr nachschlagen konnte, was „new“ denn jetzt auf deutsch heißt. :mrgreen:

Hinweis: Das Formular muss in einem modernen Browser geöffnet werden, dass JavaScript aktiviert hat [sic!]. (z.B. Internet Explorer, Mozilla Firefox)

Von nichts könnte ich weniger abraten als davon, einem Spammer das Privileg einzuräumen, Programmcode auszuführen. In diesem Fall wäre es relativ harmlos gewesen, denn hier dient ein verhältnismäßig komplexes Skript nur dazu, zu verbergen, dass die Daten nicht etwa an die Domain von PayPal gesendet werden, sondern an die ungleich weniger Vertrauen erweckende Domain s (punkt) psereu (punkt) us, die erst frisch vor einer Woche unter Angabe mutmaßlich irgendwo abgegriffener Daten registriert wurde. (Der vermutlich völlig unbeteiligte Einwohner der USA, dessen Identität hier von Verbrechern missbraucht wird, darf sich vermutlich in Kürze wegen des gewerbsmäßigen Computerbetrugs anderer Leute mit dem FBI herumschlagen. Das ist einer der Gründe, weshalb man sehr zurückhaltend mit seinen Daten umgehen sollte – egal, wie viel „Datenschutz“ auch versprochen wird.)

In einem zweiten Schritt „darf“ man übrigens einen umfassenden Datenstriptease hinlegen und jede Menge Daten gegenüber „PayPal“ angeben, die das echte PayPal schon lange kennt. Was machen die Verbrecher mit solchen Daten? Na ja, das übliche: Kreditkartenbetrug und hin und wieder mal unter einer fremden Identität auftreten, damit andere Leute ins Visier der Ermittler geraten.

Nach Abschluss dieser Phase [sic! Meinen die eine Mondphase?!] wird die Aktualisierung Ihres PayPal-Kontos normal funktionieren.

Genau wie vorher.

Wir entschuldigen uns für die Unannehmlichkeiten und danken Ihnen für Ihre Zeit.

Ja ja, ich verachte euch auch!

Für weitere Informationen kontaktieren Sie bitte den Kundenservice.

Es war offenbar kein Platz mehr auf dem Mailpapier, so dass nichts von Substanz gesagt werden konnte.

Mit freundlichen Grüßen,

PayPal-Team.

Ihr mich auch!

offizielle sieger

Freitag, 7. März 2014

Spammer's Hall of Shame: Millionengewinn! (Voll Offizielle Gewinnbenachritigung!)

In die „Hall of Shame“ kommen nur die ganz Harten. Die, bei denen sich der mutige Einsatz von Technik und das Streben nach gestalterischer Exzellenz mit unfassbarer Stümperei paart. Die, bei denen man das Gefühl bekommt, dass ein Bolzenschussgerät das Ziel verfehlen könnte. Wenn du hier landest, Spammer, dann hast du vermutlich die Lobotomie schon hinter dich gebracht…

Oh, eine Mail ohne Inhalt, die jemand so an sich selbst geschrieben hat, dass sie schließlich dank einiger BCC:-Header auch bei mir ankam. Nur drinstehen tut halt nichts.

Schade, dabei war das so ein schöner Betreff!

Oh, da ist ja doch etwas: Die Spam hat einen Anhang. Der Absender dieses Mülls war ganz offensichtlich der Meinung, dass so eine Spam viel offizieller ausschaut, wenn da nicht einfach in… sagen wir mal… dreitausend Byte Text drinsteht, um was es geht, sondern stattdessen 545 KiB Gülle aus der bizarren Kopfwelt der Vorschussbetrugs-Spammer als Anhang verklappt werden. Dank der Base-64-Codierung für den E-Mail-Versand werden daraus rund 730 KiB, was vor allem Menschen mit Volumentarif von einer ganz besonderen Freude über ihre „offizielle Gewinnbenachritigung“ erfüllt sein lässt.

Aber immerhin, dafür wird das angehängte PDF-Dokument mit dem schönen Dateinamen c.g.euromilion.pdf doch sicherlich vortrefflich formuliert und hübsch gestaltet sein¹…

So sieht das angehängte PDF aus, zum Vergrößern bitte klicken!

…damit es wenigstens ein bisschen überzeugend aussieht. Oder vielleicht noch nicht einmal das. :mrgreen:

¹Eine 150-dpi-Version zum bequemen Lesen gibts nach einem Klick auf das Vorschaubild. Mailadressen und Telefonnummern habe ich unkenntlich gemacht, um nicht zum unfreiwilligen Hoster für diese Hirnamputierten zu werden.

Abschließende Mitteilung für die Zahlung eines nicht beanspruchten Preisgeldes

Sonntag, 3. November 2013

Oh wie schön! Abschließende Mitteilung! Bekomme ich jetzt etwa keine Spam von Vorschussbetrügern mehr, in der drinsteht, dass ich bei Lotterien, bei denen niemand ein Los kaufen muss, Millionen gewonnen habe?

ANWALTSKANZLEI AS & G, ABOGADOS
Castellon De La Plama 20, 28006 Madrid, Spain.
FAX: 0034 917 692 xxx Tel : 0034 632 482 xxx Email: asabogados (at) consultant (punkt) com

Schon vor dem ersten Wort Text ist klar, dass der Absender gefälscht ist – deshalb kann man nicht einfach auf „Antworten“ klicken, um zu antworten.

AKTENZEICHEN: ZFW/57-876/98-13
KUNDENNUMMER: ZFW-FA/894/13

Alles wirkt echter, wenn man einen Löffel Buchstabensuppe abschreibt und behauptet, das sei ein Aktenzeichen. :mrgreen:

Übrigens ist das kein adäquater Ersatz für eine persönliche Anrede.

AbschlieЯende Mitteilung fьr die Zahlung eines nicht beanspruchten Preisgeldes

Große Leistung, ihr Idioten! Im Betreff habt ihr es noch hinbekommen, diese komischen „ß“-Kringel der Deutschschreiber nicht als kyrillisches Zeichen erscheinen zu lassen. Aber das wirkt alles schon sehr überzeugend! Spanien und kyrillische Buchstaben, das sieht ja beides irgendwie ausländisch aus… :mrgreen:

Wir mцchten Sie informieren, dass das Bьro des nicht Beanspruchten Preisgeldes in Spanien, unsere Anwaltskanzlei ernannt hat, als gesetzliche Berater zu handeln, in der Bearbeitung und der Zahlung eines Preisgeldes, das auf Ihrem Namen gutgeschrieben wurde, und nun seit ьber zwei Jahren nicht beansprucht wurde.

Ich möchte sie Hirnkrepel von Spammer daran erinnern, dass die Formulierung „auf ihrem Namen gutgeschrieben“ in einer Spam ohne namentliche Anrede so dumm ist, dass man vor Lachtränen in den Augen gar nicht mehr die anderen Patzer in diesem Mülltext findet.

Der Gesamtbetrag der Ihnen zusteht betrдgt momentan 4.540.225,10 EURO Das ursprьngliche Preisgeld bertug 1.725.810,00 EURO. Diese Summe wurde fuer nun mehr als zwei Jahre gewinnbringend angelegt, daher die Aufstockung auf die oben bennante Gesammtsumme. Entsprechend dem Bьros des nicht Beanspruchten Preisgeldes, wurde dieses Geld als nicht beanspruchten Gewinn einer Lotteriefirma zum verwalten niedergelegt und in Ihrem Namen versichert.

Hui, ein Wertzuwachs von 263 Prozent in zwei Jahren. Worin wurde das Geld „angelegt“? In organisierten Kokainhandel? In ein Bordell mit Zwangsprostituierten? In Schutzgelderpressung? Immerhin, sie haben verstanden, wie das mit Punkt und Komma bei den Zahlen in deutschen Texten funktioniert – das ist keine Selbstverständlichkeit.

Und was ist nun mein Name, in dem der Zaster „versichert“ wurde?

Laut der Lotteriefirma wurde ihnen das Geld nach einer Weihnachtsfцrderungslotterie zugesprochen; die Cupons wurden von einer Investmentgesellschaft gekauft. Nach Ansicht der Lotteriefirma wurden sie damals angeschrieben um Sie ьber dieses Gewinn zu informieren, es hat sich aber leider bis zum Ablauf der gesetzten Frist niemand gemeldet um den Gewinn zu beanspruchen.

Weihnachten muss man ja unbedingt fördern, vermutlich auch „nach Ansicht der Lotteriefirma“… 😀

Ich werde übrigens fast jeden Tag angeschrieben, dass ich in einer „Lotterie“ gewonnen habe. Und ich bin immer wieder erstaunt, wer alles Lotterien veranstaltet: Microsoft, Facebook, Toyota, Google… und ich bin ja so ein Glückpilz. Nicht nur, dass ich niemals Lose dafür kaufen muss, ich gewinne auch niemals diese Kleckerbeträge von ein paar hundert oder tausend Euro oder Dollar, sondern fast immer nur die fetten Millionen. (Nur ein einziges Mal war es ein Tausender, aber das sah von seiner Machart eher nach einer Datensammlung für Identätsmissbrauch als nach Vorschussbetrug aus.) Wenn ich diese Mails alle beantworten würde, hätte ich kaum noch etwas anderes zu tun.

Und wie häufig dann der Gewinnbescheid aus Spanien kommt, aber kyrillische Zeichen enthält, das ist einfach nur faszinierend. :mrgreen:

Dieses war der Grund , weshalb das Geld zum verwalten niedergelegt wurde.

Ich lege mich auch gerade nieder. 😆

GemдЯ des Spanischen Gesetzes muss der Inhaber alle zwei Jahre ueber seinen vorhanden Gewinn informiert werden.

Das „spanische Gesetz“ hat natürlich keinen Paragrafen in einem spanischen Gesetzbuch, sonst schlägt es noch jemand nach. Im anderen Spanien, wo ich im Frühling dieses Jahres gewonnen habe, sind die Gewinne einfach verfallen, wenn man sie nicht bis zu einem gesetzten Termin abgeholt hat.

Sollte dass Geld wieder nicht beansprucht warden, wird der Gewinn abermals ueber eine Investmentgesellschaft fьr eine weitere Periode von zwei Jahren angelegt werden. Wir sind daher, durch das Bьro des nicht Beanspruchten Preisgelds beauftragt worden, sie anzuschreiben. Dies ist eine Notifikation fьr das Beanspruchen dieses Preisgelds. Wir mцchten sie darauf hinweisen, dass die Lotterie Gesellschaft ьberprьfen und bestдtigen wird, ob ihre Identitдt uebereinstimmt, bevor ihnen ihr Geld ausbezahlt wird. Wir werden sie beraten, wie Sie ihren Anspruch geltend machen. Bitte setztzen sie sich dafuer mit unserer Deutsch Sprachigen Rechtsanwaeltin in Verbindung

Was ist denn „meine Identität“, die übereinstimmen muss?

FR. DR. Ana Garcia Molina, TEL: 0034 632 482 xxx
Sie ist zustaendig fuer Auszahlungen ins Ausland und wird ihnen in dieser Angelegenheit zur Seite stehen. Der Anspruch sollte vor dem 13-12-2013 geltend gemacht werden, da sonst dass Geld wieder angelegt werden wuerde. Wir freuen uns, von Ihnen zu hцren.

Das mit dem Datumsformat im Deutschen lernt ihr aber noch. Entweder 13. 12. 2013 oder aber – leider in Deutschland im Schriftverkehr eher unüblich, aber völlig normgerecht nach DIN 5008 – international 2013-12-13. In einem solchen Fall, wo es um eine Frist geht, würde übrigens jeder geübte Deutschsprachler den Monatsnamen ausschreiben, um jede Möglichkeit einer Fehlinterpretation auszuschließen.

Mit Freundlichen GrьЯen
ANA GARCIA MOLINA
RECHTSANWAELTE AM OBERSTEN GERICHTSHOF

Nennt man die Klapsmühle jetzt schon so? :mrgreen:

This message has been scanned for viruses and
dangerous content by AlwaysONScanner, and is
believed to be clean.

Oh, die Spam ist mit Schlangenöl eingerieben. Wie beruhigend!

Aber da sind ja auch noch ein Anhänge an der Spam, von denen nirgends im Text die Rede ist – ich hätte das jetzt fast übersehen. Es handelt sich um zwei unkomprimierte JPEG-Bilder mit den schönen Dateinamen:

  1. Mitteilung die Zahlung.jpg (1,0 MiB)
  2. ANMELDEFORMULAR FUER DEN GEWINNANSPRUCH.jpg (826 KiB)

Mit der üblichen Base64-Codierung – E-Mail ist ursprünglich nicht für den Versand von Binärdateien konzipiert worden, deshalb müssen die Daten auf ASCII abgebildet werden – werden daraus gut 2,5 MiB Stopfmasse fürs Mailpostfach. Dafür gibt es doch bestimmt so richtig sinnvolle, gute Daten geliefert, oder?! Zum Vergrößern hier auf die Vorschaubilder klicken, aber dabei zur Vermeidung von Sauerei bitte keine Getränke im Mund haben:

Die angehängte Datei Mitteilung die Zahlung.jpg

Die angehängte Datei ANMELDEFORMULAR FUER DEN GEWINNANSPRUCH.jpg

Natürlich habe ich Telefonnummern und Mailadressen unkenntlich gemacht, denn ich möchte nicht gern zum Hoster für die Vorschussbetrüger werden. Wieso diese Idioten von Spammer glauben, dass ihre bescheuerte Spam glaubwürdiger wird, wenn sie den gesamten Text noch einmal als JPEG-Datei anhängen, bleibt das Geheimnis unerforschter Abgründe namenloser Dummheit. Das „Anmeldeformular“ hat übrigens ein Ablaufdatum 30. Oktober 2013, und leider fand sich in der offenbar vollständig enthirnten Bande niemand, der das mal kurz anpassen konnte. Oder man hielt es für zu viel Mühe…

Aktualisieren Sie Ihr MasterCard Konto

Donnerstag, 31. Oktober 2013

Aber ich habe gar kein MasterCard-Konto…

Bitte beachten Sie, dass wir von nun an unsere neue online banking Echtheitsprozedur einleiten werden, um die Privaten Informationen von allen online banking Nutzern zu schützen.

Eine Anrede ist das, worauf wir verzichten.

Bitte beachten Sie, dass wir auch nicht wissen, wie das mit der Groß- und Kleinschreibung funktioniert und – von solchen Fehlern abgesehen – generell ein ganz seltsames Deutsch schreiben.

Sie werden dazu aufgefordert ihre Online banking Details für uns zu bestätigen,

Ja, dieser Satz endet mit einem Komma, wie eine Treppe empor zum Nichts.

Achtung! Festhalten! Das knalldumme Stakkato zusammenhangloser Sätze im folgenden Absatz der Phishing-Spam kann nichts und niemand in seiner gnadenlosen Entfaltung bremsen!

Wir werden die benötigten Schritte einleiten um ihren Account wiederherzustellen. Wir bedanken uns für ihr Verständnis während wir daran arbeiten ihre Account Sicherheit zu gewährleisten. Ihr Account Zugang wird befristet sein bis die folgenden Details überprüft wurden. Wir bedanken uns für ihre schnelle Aufmersamkeit zu diesem Problem, bitte berücksichtigen Sie, dass dies eine Sicherheitsvorkehrung ist um Sie und Ihren Account zu schützen. Wir entschuldigen uns für die Unannehmlichkeiten.

Seltsam: Erst wurde im Beginn der Spam eine neue „Echtheitsprozedur“ für das Online-Banking „eingeleitet“, und jetzt schon hui ist der Account „befristet“, jemand muss daran arbeiten, seine „Sicherheit zu gefährleisten“ und ihn „wiederherzustellen“. Das ist aber nur eine Sicherheitsvorkehrung. Und ein Problem. Und eine Unanehmlichkeit. Danke und Entschuldigung. :mrgreen:

Na ja, immerhin haben die Idioten Umlaute in die Mail bekommen. Das ist schon nicht so alltäglich. Nachdem sie Pünktchen über die Vokale machen können, müssen sie jetzt im nächsten Schritt daran arbeiten, Sinn in die Wörter zu bekommen. Ach, apropos Schritte:

Schritt 1: Bitte downloaden Sie, dass der E-Mail angehängte Formular.

Das Öffnen eines Mailanhanges ist der neue Download.

Schritt 2: Bitte öffnen Sie das Formular mit Ihrem Internet Browser. *Beachten Sie (Wenn Sie das Formular durch zweifaches klicken nicht öffnen können, dann klicken Sie bitte ihre Maus rechts und gehen Sie zu „Öffnen mit“ und wählen Sie dann bitte Ihren Browser.

Fragen sie sich auf gar keinen Fall, warum ihnen ein HTML-Dokument als Mailanhang zugestellt wurde und nicht einfach ein Link auf die MasterCard-Seite gesetzt wurde (oder warum nicht ganz einfach eine Aufforderung kam, sich normal einzuloggen)! Öffnen sie einfach eine Datei, die ihnen von einem Spammer zugestellt wurde, in ihrem Browser!

Und dann fragen sie sich nicht eine einzige Sekunde lang, warum zum hackenden Henker…

Screenshot des Phishing-Anhanges der Spam

…sie MasterCard in einem so aufwändigen, aber nirgends vernünftig begründeten Verfahren lauter Dinge sagen sollen, die MasterCard schon lange weiß! Stattdessen…

Schritt 3: Wenn Sie das Formular ausgefüllt haben klicken Sie bitte auf bestätigen.

…einfach einmal klicken, und sich über die kommenden Monate freuen, in denen man den ganzen Ärger mit einem abgeräumten Konto, Betrugsgeschäften und der missbrauchten Identität hat.

Die eingegebenen Daten werden an die IP-Adresse 176.28.54.2xx gesendet. HostEurope ist selbstverständlich bereits über dieses laufende Phishing unterrichtet – und wird sich wohl damit abfinden müssen, dass eventuelle Außenstände von den Verbrechern nicht mehr bezahlt werden. Natürlich haben die für ihre Serverbestellung eine gephishte Identität missbraucht.

Mit freundlichen Grüßen

Peter Herrmann
Sicherheitsteam Telefonbanking
Online Kredit, Girokonto, Vermögensberatung und Altersvorsorge | MasterCard

Mit mechanischem Winkewinke
Ihr Phishing-Spammer mit das gute Deutsch.

Foto und Video MMS

Donnerstag, 24. Oktober 2013

Dieser gefährliche Müll kommt mit Absendern @t-mobile (punkt) de, aber natürlich ist dieser Absender gefälscht.

Absender: +4916001793165

MMS:

Tja, unter MMS ist ein leeres Kästchen. Da muss mir der freundliche Spammer auch gleich mal erklären, was eine MMS ist und wieso zum Henker ich die bekommen kann, obwohl ich gar kein Handy benutze, sondern meine Mail abhole:

MMS empfangen – auch per E-Mail

Brieftauben empfangen, auch per Telefon.

< Bis zu 1000 Zeichen Text je MMS

Toll, das muss dieser Fortschritt sein, dass man jetzt E-Mail über eine ungeeignete Schnittstelle schreiben kann, und dazu auch noch Einschränkungen hat.

< E-Mailadressen oder ins Telekom Festnetz bis 300 KB

Dieser Satz oder ab Hauptbahnhof Hannover kein Verb und kein Sinn.

< Der Empfang von Foto und Video MMS im Inland ist kostenlos. Wenn Sie eine MMS an eine E-Mail senden, erhält der Empfänger eine E-Mail mit Anhang
2). Falls der Empfänger kein MMS-fähiges Handy besitzt, kann er Ihre Nachricht auf der Website www.mms.t-mobile.de abholen und auch weiterleiten
2). Den nötigen Link und das individuelle Passwort auf der Website erhält er per SMS.

So kommen wir zweimal zu zweitens, denn doppelt hält ja bekanntlich besser. Aber ich habe gar nicht vor, überteuert Medien über ein Händi zu versenden, sondern ich habe eine Drecksmail erhalten. Schon dumm, wenn ein Idiot von Spammer sich den Text der Spam von irgendwo zusammenkopiert und nicht einmal genug Deutsch kann, um zu bemerken, dass sein hirnloses Gestammel nicht den geringsten Sinn ergibt.

Was gar nicht klar wird, wenn man diesen faden Sprachbrei liest, ist, dass die Spam auch noch einen Anhang hat. Der soll offenbar die angebliche MMS sein. Wie üblich handelt es sich um ein ZIP-Archiv, und darin liegt eine Datei mit der Namenserweiterung .jpg.exe, also eine von Spammern zugestellte ausführbare Datei für Microsoft Windows, die versucht, so zu tun, als sei sie ein JPEG-Bild. Was davon zu halten ist, sollte allein aus dieser Beschreibung klar werden. Wer diese EXE ausführt, weil er ein Bild betrachten möchte, das von einer unbekannten Person über ein obskures Verfahren zugestellt wurde und mit einer merkwürdigen Mail angekommen ist, hat hinterher einen Computer anderer Leute auf seinem Schreibtisch stehen.

Die Schadsoftware wird zurzeit von weniger als der Hälfte der gängigen Antivirus-Programme als Schadsoftware erkannt. Immer noch sind die Hersteller und Verkäufer von Antivirus-Programmen der Meinung, dass es legitime Gründe geben kann, eine ausführbare Datei für Microsoft Windows über einen irreführenden Dateinamen als ein anderes Dateiformat zu tarnen – eine an sich sehr primitive Masche in der Spam, die bereits seit Jahren läuft. Oder anders gesagt: Die Anwender der Antivirus-Programme mit ihrem Schutzbedürfnis bei der Computernutzung sind den Herstellern und Verkäufern der Antivirus-Programme so gleichgültig, dass einfachste Muster, die nur zur Irreführung von Menschen dienen können und die von Verbrechern seit Jahren zur Irreführung von Menschen benutzt werden, beim angeblichen „Scan“ nicht berücksichtigt werden.

Wer trotzdem auf dieses Schlagenöl vertrauen will, der vertraue! Leider ist Dummheit nicht verboten. (Sonst würden auch ganze Geschäftsmodelle zusammenbrechen.)

Noch so eine Mail

Der Unsinn mit den MMS-Nachrichten per E-Mail, die in einem Anhang Schadsoftware enthalten, kommt gerade massiv zurück – ich habe sehr viel von dieser Spam im Sieb.

Natürlich gibt es derartige Spam auch in mies… also ohne den Versuch, einen erläuternden Text reinzuschreiben. Etwa so wie dieses Prachtexemplar der Gattung Inhaltsleer vom gefälschten Absender noreply (at) mms (punkt) eplus (punkt) de mit dem tollen Betreff „MMS“:

24102913AXCPERNM

„In einer solchen Mail möchte man doch sofort herumklicken“, scheint sich der völlig enthirnte Verbrecher bei seiner Idee gesagt zu haben. Der Anhang ist wieder ein ZIP-Archiv, in dem sich eine ausführbare Datei für Microsoft Windows befindet, die nicht einmal versucht, mit einer Fake-Extension wie etwas anderes auszusehen – aber das Icon erweckt natürlich den Eindruck einer Bilddatei. Diese Schadsoftware wird zurzeit nur von einem guten Zehntel der gängigen Antivirus-Programme als Schadsoftware erkannt. Gut, dass es ein handelsübliches Gehirn in einem solchen Kontext viel leichter hat… 😉

Ich kann es aber dennoch nicht häufig genug sagen: Mails mit einem ZIP-Archiv im Anhang stinken. Unverlangt zugestellte Mails mit Anhang sollten nur noch mit der Kneifzange angefasst werden, und auch bei verabredeten Mails ist eine gewisse Restvorsicht angemessen, so etwas wie eine kleine Rückfrage, bevor darin rumgeklickt wird – vor allem, wenn das ZIP-Archiv überflüssigerweise benutzt wird, um eine einzelne Datei in einem schon komprimierenden Format wie JPEG, PDF oder dergleichen zu transportieren.