Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.


Schlagwortarchiv „Antivirus“

Retourenlabel zu Ihrer DHL Sendung 401696982

Montag, 26. August 2013

Gefälschter Absender ist no (strich) reply (at) deutschepost (punkt) de, aber natürlich hat diese Spam nichts mit DHL oder der Deutschen Post zu tun. Das Fälschen eines Absenders ist nun einmal sehr leicht. Die sehr viel schwierigere Aufgabe, einigermaßen ruckelfreies Deutsch zu schreiben, haben die Spammer zugegebenermaßen gut bewältigt.

BITTE ANTWORTEN SIE NICHT AUF DIESE EMAIL

Die Mail zu beantworten wäre auch reichlich witzlos, denn der Absender ist gefälscht.

Sehr geehrte Damen und Herren,

Großes Kino! Der Empfänger hat also angeblich ein Paket bekommen, das bestimmt nicht an die E-Mail-Adresse zugestellt wurde, sondern an einen Menschen, aber trotzdem weiß DHL nicht, wie der Empfänger heißt.

Bitte drucken Sie das beigefügte Retourenlabel aus und bringen es auf Ihrem Retourenpaket an. Ihr Retourenpaket können Sie deutschlandweit abgeben:
– bei allen [rund 2.500] DHL Packstationen oder [rund 1.000] Paketboxen
– in einer der [über 14.000] Filialen in Ihrer Nähe
– bei Ihrem Paketzusteller
Auf Wunsch können Sie Ihr Paket auf eigene Kosten abholen lassen. Einfach online eine Abholung beauftragen unter:
www.dhl.de/abholauftrag

Das „beigefügte Retourenlabel“ – die Spammer wissen also immer noch nicht, wie man einen Mailanhang so bezeichnen kann, dass das Gehirn beim Lesen nicht stolpert – ist das Übliche: Ein ZIP-Archiv, in dem eine Datei mit der Namenserweiterung .pdf.exe liegt, also eine von Verbrechern mit einer Spam zugestellte ausführbare Datei für Microsoft Windows, die so tun will, als sei sie ein PDF-Dokument. Wer sich das angebliche PDF auf seinem unter Microsoft Windows laufenden Rechner anschauen will, führt also Software von Kriminellen aus. Zurzeit erkennt nur die Hälfte der gängigen Antivirusprogramme in dieser Schadsoftware etwas, was eine Warnung rechtfertigt. Es besteht also durchaus trotz Virenschutz-Schlangenöl eine Gefahr… außer, man macht bei derartigen Mails mit Anhang in einem ZIP-Archiv das einzig richtige: Einmal auf die Löschtaste drücken und sich angenehmeren Dingen zuwenden.

So, und jetzt noch mein offener Brief…

An die Hersteller von Antivirus-Programmen

Ein frohes Hallo in die große Runde der Schlangenölhändler!

Ihr „seht“ sicher jeden Tag mehr Schadsoftware als ich in meinem ganzen Leben. Ihr müsst euch jeden Tag etwas einfallen lassen, wie ihr diesen ganzen Dreck erkennt und unschädlich macht.

Das ist sicher keine leichte Aufgabe, und es mag für Nutzer häufig angegriffener Systeme mit langer Sicherheitsvorgeschichte wie Microsoft Windows auch eine wichtige Ergänzung zur Benutzung des handelsüblichen Verstandes sein, wenn eure Software im Hintergrunde Strom in Wärme verwandelt, um eine Übernahme des Computers durch Kriminelle zu erschweren.

Ihr sucht in Binaries nach Mustern, die eine eindeutige Erkennung ermöglichen, damit es nicht zu peinlichen Fehlern kommt. Und die Spammer sind euch immer einen bis zwei Tage voraus, so dass eure gesamte Mühe nur gegen ältere Schädlinge hilft, aber nur selten gegen die Pest, die jeden Tag in stinkenden Fluten ins Postfach strömt.

Ich habe an euch nur eine kleine, aber vielleicht nicht ganz unwichtige Frage:

Die erste, hier auf Unser täglich Spam wiedergegebene Müllmail, in der eine Datei mit der Namenserweiterung .pdf.exe auftrat, habe ich am 15. Mai 2009, also vor 1564 Tagen, gesehen. Diese spezielle Masche wurde seitdem immer und immer wieder einmal mit den unterschiedlichsten „Begründungen“ versucht, zum Beispiel als Telekom-Rechnung, als MMS, als Rechnung mit namentlicher Ansprache, als Bestellbestätigung, als Zustellungshinweis für ein Paket oder als Mahnschreiben eines Inkasso-Anwalts.

Es handelt sich also wirklich nicht mehr um eine neue Nummer der Spammer.

Aber es handelt sich immer noch um eine brandgefährliche Nummer. Das erkenne ich auch daran, dass ich beinahe jeden Tag eine solche Datei als Anhang einer Spam sehe. Derartige Mails mit angeblichen PDF-Anhängen dürften jeden Tag zur Folge haben, dass hunderte von Menschen ihren Rechner zu einem Computer anderer Leute machen. Sie dürften also einen erheblichen Schaden durch abgegriffene Passwörter, manipuliertes Online-Banking, Identitätsmissbrauch, Spam und andere unerfreuliche Tätigkeiten verursachen.

Dieser Schaden wird auch verursacht, weil derartige Mails von eurem Schlangenöl immer noch nicht als potenziell schädlich erkannt werden.

Aus Nutzersicht erscheint der Anhang als ein PDF-Dokument. Er hat das passende Piktogramm und heißt irgendetwas mit .pdf am Ende, was keinen Alarm auslöst. Er ist, wenn die Standardeinstellungen von Windows belassen wurden, völlig unverdächtig. Aber es handelt sich um eine .exe für Microsoft Windows.

Dass Microsoft aus vermutlich nicht nur für mich nicht nachvollziehbaren Gründen den echten Namen der Datei vorm Nutzer verbirgt und damit diese Nummer erst möglich macht, gehört zu den Dingen, die ihr auch nicht ändern könnt. Es ist neben anderen vergleichbar hirnlosen Entscheidungen aus Redmond einer der vielen kleinen Gründe dafür, dass Microsoft Windows das Lieblingsbetriebssystem der organisierten Kriminalität ist.

Aber, ihr Hersteller von Antivirus-Schlangenöl! Erklärt mir bitte nur eine einzige Kleinigkeit: Welchen halbwegs legitimen Grund kann es geben, eine Datei als .pdf.exe zu benennen, um einen völlig falschen Eindruck von der wirklichen Natur dieser Datei zu erwecken? Mir fällt beim besten Willen kein Grund ein, warum jemand das tun sollte, wenn er nicht gerade mit dieser Überrumpelung jemanden anders eine Schadsoftware unterjubeln möchte.

Und wenn auch euch kein Grund einfällt – wovon ich ausgehe – ist hier meine kleine Frage: Warum zum hackenden Henker werden solche Dateien von euch nicht als Schadsoftware aussortiert? Ihr braucht dafür nicht einmal in die Dateien hineinzuschauen und sie mit euren Virussignaturen abzugleichen. Ein einziger Blick auf den Dateinamen reicht. Wenn er .pdf.exe, .pdf.scr, .pdf.pif, .pdf.com oder vergleichbar lautet, oder wenn da statt pdf so etwas wie docx, doc, odt, ppt, xls oder dergleichen steht, handelt es sich immer um einen Versuch, eine potenziell gefährliche, ausführbare Datei als ein harmloseres Dokumentformat zu tarnen.

Seid ihr einfach nur gedankenlos? Oder seid ihr in der Suche nach guten Signaturen für Schadsoftware so „betriebsblind“ geworden, dass euch einfache Muster gar nicht mehr auffallen?

Oder ist es euch egal, ob eure Software gegen den ganzen Müll funktioniert, weil ihr eh wisst, dass eure Produkte keinen zuverlässigen Schutz bieten und hofft ihr stattdessen nur noch darauf, dass das Geschäft damit trotzdem noch eine Zeitlang läuft?

Nur eine kleine Frage von eurem Spam „genießenden“
Nachtwächter

Vorsicht neuer Virus im Netz!

Montag, 6. September 2010

Wer beim Surfen – auch auf durchaus respektablen Websites, deren URL ich hier wegen des BRD-weiten Rechtsschutzes für beleidigte Leberwürste nicht zu geben bereit bin – von der folgenden scheinbaren Meldung seines Windows-Rechners überrascht wird…

Windows Security Alert -- Windows Security Alarm -- Vorsicht neuer Virus im Netz! -- Neue Viren und Trojaner bedrohen Ihren Computer im Internet. Ihre Dokumente, Passwörter und Bilder können gefährdet sein. Aktualisieren Sie ihr Virenprogramm. -- Details zum neuesten Virus -- Angriff von 121.246.89.113, port 29323 -- Attackiertes Port: 11280 -- Bedrohungsart: Trojan.Vars.E3 -- Unsere Empfehlung: Sofort Virusprogramm aktualisieren -- Aktualisieren -- Später erinnern

…kann sich entspannen. Es handelt sich nicht um eine Viruswarnung von Microsoft Windows. Vielmehr ist es ein ganz normales, als LayerAd (also über JavaScript verzögert in die Website eingeblendet) realisiertes Werbebanner, und allein die werbende Methodik, mit der hier die Aufmerksamkeit vor allem von weniger erfahrenen Computernutzern erzwungen wird, ist eine deutliche Empfehlung, den so werbenden Anbieter nicht für besonders vertrauenswürdig zu halten.

Wohin man innerhalb der Grafik (denn mehr ist der ganze faule Zauber nicht) klickt, ist gleichgültig. Man landet auf einer Website, die ungefähr wie der folgende Screenshot aussieht und in großen Buchstaben vorgibt, dass dort ein völlig kostenloser Virenschutz verfügbar wäre (zum Vergrößern Vorschaubild klicken):

Screenshot der Überrumpelung

Natürlich wird beim hier dargestellten angeblichen „ActiveX Online-Scanner Kurzcheck“ immer etwas gefunden – und da kommt es dem so eingeschüchterten Surfer, dessen Aufmerksamkeit durch eine alarmierende, im Stil eines Standarddialogfensters von Microsoft Windows gehaltene Meldung erzwungen wurde, doch nur gerade recht, dass er jetzt einen „kostenlosen“ Schutz bekommt. Wieso man einen kleinen Datenstriptease hinlegen soll…

Detail aus dem Screenshot mit der verpflichtenden Eingabe vollständiger Adressdaten für den Download des so schreiend angebotenen Schutzes

…ja, wieso man gar seine vollständige Anschrift, sein Geburtsdatum und seine Telefonnummer hinterlegen soll, nur um eine „kostenlose“ Software herunterzuladen, ist leider eine Frage, die sich im Zeitalter der allgemeinen Orwellness zu viele Menschen nicht mehr zu stellen scheinen. Das Kleingedruckte offenbart hier dann mal wieder, wie das so groß Geschriebene zu verstehen ist, denn (für Originalgröße Vorschaubild klicken)…

Antivirus-Security.net übernimmt keinerlei Gewähr für die Aktualität, Korrektheit, Vollständigkeit oder Qualität der bereitgestellten Informationen, der angebotenen Online-Scans oder Downloads. Mit Anklicken des 'Sofort starten'-Buttons beauftragen sie antivirus-security.net Ihnen die Vollversion der Antivirus Security-Software 14 Tage lang kostenlos zur Verfügung zu stellen. Nach Ablauf dieses Testzeitraums verlängert sich die Nutzung bequem um weitere 24 Monate. Ich erhalte Antivirus-Security dann zum Vorzugspreis von 79 Euro für einen Abrechnungszeitraum der dritteljährlich...

…kostenlos ist das tolle Progrämmchen nur für ein paar Tage, danach werden ganz bequem (fragt sich nur, für wen) ordentlich Kosten fällig, und zwar gleich zwei ganze Jahre lang. Das macht insgesamt 474 Euro, die auch gewiss eingefordert werden. Dafür wird aber auch gar nichts garantiert, nicht einmal, dass man die erkannten Viren wirklich auf seinem Rechner hatte. Das ist natürlich nicht so ganz genau das, was sich normale Menschen unter dem Begriff „kostenlos“ vorstellen. Deshalb steht der auch nur auf Unterseiten mit etwas kryptischen Subdomains, zu denen man von den eingeblendeten Ads direkt gelotst wird – auf der Startseite, die sich wohl niemand anschauen wird, der durch die gesamte Darbietung in die gewünschte Panik versetzt wurde, sieht es sehr anders aus (für Originalgröße Vorschaubild klicken):

Startseite des fragwürdigen Anbieters dieses recht teuren Schutzes für Windows-PCs

So kann sich dieser Anbieter – bei dem hoffentlich verständlich geworden ist, warum ich ihn nicht direkt verlinken will – auch jederzeit damit brüsten, dass er doch „deutlich“ über die Kosten informiert hat, denn diese prangen ebenso unübersehbar auf seiner Startseite wie der Hinweis, dass man die angebotene Software nur 14 Tage lang kostenlos testen kann. Die verblüffend ähnlich gestalteten Seiten auf obskuren Subdomains, zu denen man durch die Werbebanner geleitet wurde, werden wohl nicht besonders lange Bestand haben und durch andere verblüffend ähnlich gestaltete Seiten auf anderen obskuren Subdomains abgelöst werden.

Da kann einem schon einmal die – hier wegen des Rechtsschutzes für beleidigte Leberwürste – vorsichtig formulierte Vermutung aufkommen, dass es für das Geschäftsmodell dieses Anbieters förderlich sein könnte, wenn die von scheinbaren Viruswarnungen ihres Computers eingeschüchterten Seitenbesucher einen völlig falschen Eindruck von diesem Angebot bekommen. Immerhin, sie müssen ja noch mit einem Klick bestätigen, dass sie die AGB gelesen haben. Diese AGB (hier nicht direkt verlinkt) habe ich mir auch nicht entgehen lassen und zitiere mal ein paar ausgeweidete Bröckchen aus diesen Vertragsinhalten mit einem… ähm…

Global Online Holding Inc.
UP House – 5th Floor
Port Saeed Road
P.O. Box 43659
Deira, Dubai
United Arab Emirates

…Unternehmen, dass man als Angehöriger der „Zielgruppe“ Abzockopfer in der BRD nicht mal eben so besuchen kann, um zu schauen, ob es neben dem Postfach und einer angegebenen Anschrift auch richtige Büroräume mit Mitarbeitern hat. Leider ist die „Port Saeed Rd.“ nicht bei Google Maps bekannt, und dabei hätte ich doch so gern noch ein paar Fotos des Umfeldes der Betriebsstätten dieses Dienstleisters herausgesucht. Na ja, ob das bei fehlender Angabe der Hausnummer viel gebracht hätte? Immerhin, es gibt ja ein Postfach.

Das braucht man übrigens auch, denn an diese Adresse ist gemäß Punkt 5 der AGB der Widerruf zu senden, wenn man nach Ablauf der 2 Jahre genug von diesem Dienstleister hat oder keine Lust hat, für eine Nutzung nach Ablauf der 14 Tage so viel Geld hinzulegen. Wer sicher gehen will, darf gern mal bei der nächsten Postfiliale nachfragen, was so ein Einschreiben mit Rückschein nach Dubai kostet.

Aber ich greife vorweg, denn wir wissen ja noch gar nicht, wofür man das ganze Geld hinlegen soll. Das steht natürlich auch in den AGB unter Punkt 3 und liest sich so (Domainname im Zitat für die direkte Nutzung unbrauchbar gemacht):

3. Vertragsleistungen

3.1 Ist der Vertrag gemäß Ziffer 2.1 dieser Allgemeinen Geschäftsbedingungen zustande gekommen, hat der Kunde das Recht, die Dienstleistung von antivirus (strich) security (punkt) net zunächst 14 Tage lang im Wege einer Testmitgliedschaft zu erproben. Die Testmitgliedschaft ist innerhalb dieser 14 Tage jederzeit kündbar. Sofern der Kunde die Testmitgliedschaft nicht innerhalb der 14 Tage kündigt, verlängert sich der Vertrag in eine Premium-Mitgliedschaft mit einer Mindestvertragslaufzeit von 24 Monaten. Die Nutzung des Services des AntiVirus Security-Clubs wird dann kostenpflichtig im Sinne von § 6 dieser Allgemeinen Geschäftsbedingungen.

3.2 Durch den Vertrag verpflichtet sich antivirus (strich) security (punkt) net, den Kunden jeden Monat Zugang zum kompletten antivirus (strich) security (punkt) net -Angebot zu gewähren, sobald die Zahlung durch den Kunden gemäß § 6 dieser Allgemeinen Geschäftsbedingungen erfolgt ist.

Aha! Es ist also der „vollständige Zugang“ zum Angebot einer Website. Da steht nichts von Software, da steht nichts von Virenschutz, da steht eigentlich nichts. Unter dieser diffusen Bezeichnung könnte von einem Handbuch zur Systemwartung von Microsoft-Windows bis zu einem Diskussionsforum oder auch einfach nur dreißig leeren Seiten alles abgefrühstückt werden. Eine Katze im Sack für beinahe 500 Euro, wer könnte da „Nein“ sagen?!

Zumal nicht nur für die Katze im Sack bezahlt wird, sondern auch…

9. Datenschutz

9.1. Der Kunde willigt ein, dass Global Online Holding Inc. alle von ihm zur Verfügung gestellten Daten zur Begründung, Durchführung und Abwicklung des Vertrages über eine Teilnahme bei antivirus-security.net verarbeitet und nutzt. Die persönlichen Daten können vom Betreiber elektronisch gespeichert und ausgewertet werden. Auch ist der Betreiber berechtigt, im Rahmen der Zweckbestimmung des Nutzungsvertrages anvertraute personenbezogene Daten unter Beachtung der Datenschutzbedingungen zu verarbeiten oder durch Dritte verarbeiten zu lassen.

9.2. Der Kunde autorisiert den Betreiber, dass Seine Daten nicht nur vom Betreiber selbst – gleich unter welcher Domain – sondern auch von dessen Kooperationspartnern und Dritten für interessante Angebote genutzt werden dürfen insbesondere zur Kontaktaufnahme per Email, postalisch und per Telefon. Der Partner hat hierbei die Möglichkeit, unter Beachtung des geltenden Datenschutzrechts, Zugriff auf die Datenbank des Betreibers zu erhalten. Der Kunde hat hierfür jederzeit ein Widerrufsrecht.

…für den so ganz nebenbei in einer vielleicht etwas überraschenden und für den „Kunden“ nicht korrigierbaren Klausel der AGB ermöglichten Datenhandel. Der Sack voller Spam, unerwünschter Werbung und aufdringlicher Telefonanrufe kommt also gleich hinterher. Kann man natürlich widerrufen, wenn man davon weiß. Adresse für den Widerruf: siehe weiter oben. Wenn man nicht davon weiß, kommt es nach ein paar Tagen eh nicht mehr darauf an, die Daten zirkulieren schon unter ihren Käufern. Da weiß man auch gleich, warum die Angabe eines Geburtsdatums und einer Festnetznummer erforderlich sein sollen – damit werden solche Datensätze eben wertvoller.

Ja, und wofür macht man das alles? Das wird ein bisschen versteckt auch auf der Website dieses tollen Dienstleisters erwähnt (hier wieder einmal nicht direkt verlinkt und die URL im Zitat ist auch wieder unbrauchbar gemacht worden) und man muss auch mit einer Checkbox bestätigen, dass man das gelesen hat:

antivirus (strich) security (punkt) net ist ein neuartiger Suchdienst im Internet, der für Sie nach kostenlosen und freizugänglichen Anti-Viren-Programmen weltweit recherchiert.

Wer den Satz im vorstehenden Zitat zu schnell gelesen hat: Bitte nochmal lesen! Und wenn es denn immer noch nicht geklackt hat im Kopf, noch einmal ganz langsam lesen! Kommt Übelkeit und Brechreiz auf? Denn wurde der Satz verstanden.

Ja, man soll fast 500 Euro dafür hinlegen, dass diese Leute (ohne dabei irgendeine Qualität oder Korrektheit zu garantieren) nach kostenloser Software suchen, die von anderen Unternehmungen hergestellt und angeboten wird. Ja, die wollen jedem ihrer oft überrumpelten Kunden einen lila Lappen für Software abknöpfen, die es aus offenen und legalen Vertriebskanälen vollständig kostenlos gibt. Das ist die ganze „Dienstleistung“ dieser… ähm… bitte hier ein passendes Wort nach Gemütslage und affektiver Reaktion einsetzen.

Meine Empfehlung dazu: Bei Heise erhält man eine hervorragende Übersicht über Virenscanner und so genannte Personal Firewalls, beides oft für Privatanwender kostenlos, doch selbst kostenpflichtige Produkte sind deutlich preisgünstiger als die recht nutzlose „Dienstleistung“ dieser zwielichtigen Typen, die mit vorsätzlich alarmierender Werbung arglose Menschen überrumpeln und auf Webseiten locken, die ebenfalls einen vorsätzlich falschen Eindruck vom Charakter des dortigen, in seiner Überteuerung die Grenze des Wuchers hinter sich lassenden Angebotes geben. Wer dabei Geld gespart hat, kann mir ja auf meiner Homepage eine kleine Spende über PayPal zukommen lassen.

Wer aber schon darauf reingefallen ist: Ich würde dafür keinen Cent zahlen. Die Absicht der Irreführung ist so offensichtlich, dass man nur hinschauen muss, und es ist äußerst unwahrscheinlich, dass dieser Anbieter antivirus (strich) security (punkt) net es darauf ankommen lassen wird, sein Geschäftsmodell von einem Gericht „würdigen“ zu lassen. Denn danach wären diese Leute bei der Fortsetzung ihres Geschäftes auch juristisch das, was sie von ihrem sich im „Geschäfte“ offenbarenden Chrakter her schon längst sind: Betrüger.

Aber Achtung: Sobald man auch nur eine einzige dieser Zahlungen leistet oder auch nur eine Anzahlung zu einer dieser Zahlungen, hat man damit die behauptete Schuld anerkannt – und damit die gesamte Forderung legitimiert. Ich bin allerdings kein Rechtsexperte. Nähere Auskünfte zu diesem Thema gibts beim nächsten Rechtsanwalt oder in der nächsten Verbraucherzentrale.

Und zu schlechter Letzt: Wenn ich die Dienste eines größeren deutschen Freemailers (der Name wird hier wegen des in der BRD geltenden Rechtsschutzes für beleidigte Leberwürste nicht genannt) in Anspruch nähme und auf dessen Website mit derart unseriöser und kundenverachtender Reklame konfrontiert würde, wäre spätestens dies der Tag, wo mir dieser Freemailer mit seinen Diensten mal – sorry für die deutliche Ausdrucksweise – den Buckel runterrutschen könnte. Was von derartigen alarmierenden und irreführenden Werbemaschen zu halten ist, zeigt sich nämlich auch, wenn man die Abzockerseiten nicht besucht. Und zwar durch bloßes Hinschauen. Diesem größeren deutschen Freemailer (der Name wird hier nicht genannt) sind seine Nutzer vollkommen gleichgültig; der macht für ein bisschen Geld alles, bis hin zur aktiven Unterstützung übler Abzocker. Was Freemailer betrifft, gibt es zum Glück auch Alternativen – wenn auch nicht jede dieser Alternativen bei diesem Dummfug namens DE-Mail mitmachen wird.

Ein Dank für den Hinweis und einige Screenshots an N.N.