Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.


Schlagwortarchiv „Attachment“

Ihre O2 DSL Bestellung (Kundennummer DE17858936)

Dienstag, 25. Juni 2013

Vorab: Diese Mail ist nicht von O2!

Oh wie schön, ich habe eine Kundennummer. Die ist ja fast so interessant wie die Lottozahlen für jemanden, der nicht Lotto spielt.

Lieber O2 Kunde,

Wir wissen nicht, wie der Mensch mit der Kundennummer heißt, obwohl…

Informationen zu Ihrem Auftrag finden Sie im Anhang an diese E-Mail als pdf-Datei. Diese können Sie mit einem Doppelklick ganz einfach öffnen.

…er uns doch einen „Auftrag“ erteilt hat. Vermutlich kam der Auftrag von irgendeiner Nummer und nicht von einem Menschen mit Namen und Postanschrift.

„Ganz einfach öffnen“ heißt hier übrigens: Es handelt sich um ein ZIP-Archiv. In diesem ZIP-Archiv befindet sich eine Datei der Marke .pdf.exe, also eine direkt ausführbare Datei für Microsoft Windows, die von kriminellen Spammern zugestellt wurde. Damit nicht ganz so schnell auffällt, was es mit dieser Datei auf sich hat, wurden nach .pdf ein paar lustige Leerzeichen eingefügt.

Wer das ZIP-Archiv „ganz einfach“ mit einem Doppelklick öffnet und dann dieses angebliche PDF ebenso einfach mit einem Doppelklick lesen will, führt Software von Kriminellen auf seinem Rechner aus. Hinterher steht auf seinem Schreibtisch ein Computer anderer Leute, und seine Internetleitung wird ebenfalls von Kriminellen für Spam, üble „Geschäfte“, Manipulation des Online-Bankings, Abgreifen von Daten und alles mögliche missbraucht. 85 Prozent der so genannten Antivirusprogramme erkennen diese Schadsoftware zurzeit noch nicht, das wird also mal wieder zwei Tage dauern, bis man vor der Brut von heute halbwegs geschützt ist.

Da ist es doch gut, wenn man ein Gehirn hat, das diese Spam erkennen kann, so dass man auf die wieder einmal nutzlose Schutzsoftware gar nicht angewiesen ist. :D

Hinweise zum pdf-Format: Zum Lesen, Drucken und/oder Speichern von PDF-Dateien benötigen Sie das Programm Acrobat Reader von Adobe. Haben Sie den Acrobat Reader noch nicht auf Ihrem Computer installiert, können Sie ihn hier kostenlos herunterladen: http://www.adobe.de/products/acrobat/readstep2.html

Toller Hinweis. In dieser Textmenge wäre auch Platz für einen Hinweis gewesen, was da überhaupt von wen bestellt wurde, was die angebliche Bestellung kostet und so weiter! Spams mit angeblichen PDFs, die in Wirklichkeit Schadsoftware sind, erkennt man regelmäßig daran, dass der Text der Mail alle wichtigen Informationen (außer vielleicht einen alarmierend hohen Preis) verschweigt und für solche wichtigen Einzelheiten auf ein angehängtes Dokument verweist, welches in der Regel in ein ZIP-Archiv gepackt ist, damit es die Antivirusprogramme etwas schwerer haben – und dass der Text mit eher sinnlosen „Informationen“ aufgebläht wird, damit die gnadenlose Dummheit dieser Masche nicht sofort auffällt. Es gibt keinerlei sachlichen Grund für ein Unternehmen, so vorzugehen. Es gibt überhaupt keinen Grund, ein PDF in ein ZIP-Archiv zu packen, denn PDF-Dokumente können bereits komprimiert werden. Es gibt noch weniger als überhaupt keinen Grund, im Text der E-Mail nichts zum Geschäftsvorfall zu sagen und damit Missverständnisse zu provozieren, die zu teuren Support-Angelegen werden können. Niemand würde das tun. Jedenfalls niemand, der noch bei Troste ist. Es ist ein sicheres Erkennungszeichen für Spam mit Schadsoftware.

Unser persönlicher Tip für Sie: Möchten Sie die Datei auf Ihrem Rechner abspeichern? Verwenden Sie einfach die rechte Maustaste und klicken Ziel speichern unter an. Anschließend wählen Sie das Verzeichnis auf Ihrem Rechner aus, in dem die Datei abgespeichert werden soll.

Oh, wie schön, jetzt tippt uns der Spammer noch „persönlich“ und erklärt dem Empfänger einer E-Mail, wie man einen Anhang speichert, als ob der Empfänger einer E-Mail das nicht wüsste. Das ist ja fast so „persönlich“ wie die Ansprache als „lieber Kunde“. :mrgreen:

Freundliche Grüße

Ihr O2 Team

Feindliche Grüße

Ihr krimineller Spammer

uber Ihre Fotos

Samstag, 22. Juni 2013

ist es Ihre Fotos?

Ja, das war der ganze Text des E-Mülls.

Die Welt ist ja voller ungelöster Fragen.

Zum Beispiel die Frage, was dieser Spammer eigentlich vorhatte, woran er aber wegen akuten Hirnmangels gescheitert ist. Vermutlich wollte er mir und ein paar Millionen weiterer Empfänger dieses Drecks eine Schadsoftware reinwürgen.

An der Mail hängt eine sechs Byte [!] große Datei namens fotos.zip, die kein ZIP-Archiv ist. Sie besteht aus den Bytes… moment…

$ od -tx1 fotos.zip
0000000 12 ba e8 ac 16 ac
0000006

Ich werde die Frage, was dieser mit einer dynamisch zugewiesenen IP-Adresse aus Chile spammende Stümper eigentlich wollte, unbeantwortet lassen und mich erfreulicheren Dingen zuwenden. ;)

Der Stümper kann sich unterdessen mal seinem völlig verkackten Skript zuwenden. Vielleicht fällt ihm dabei ja auch noch ein besserer Text für seine gnadenlos dumme Mail ein…

mms-Nachricht Thu, 30 May 2013 10:29:31 +0100

Donnerstag, 30. Mai 2013

Das ist die heutige Pest. Die Uhrzeit im Betreff ist variabel. Die Mails kommen immer von einer Ziffernfolge @vodafone (punkt) de, was natürlich ein gefälschter Absender ist, und sie enthalten keinen Text – aber das immerhin in HTML-Formatierung.

Statt eines Textes gibt es einen Anhang. Dieser ist ein ZIP-Archiv mit einer kryptischen Zeichenfolge als Dateiname, und darin ist eine einzige Datei mit einem gleichfalls kryptischen Namen und der bemerkenswerten Dateinamenserweiterung jpeg.img.exe enthalten, der so tun soll, als handele es sich um ein Bild. Natürlich ist das kein Bild, sondern eine direkt ausführbare Datei für Microsoft Windows. Dass es sich dabei um Schadsoftware handelt, bedarf hoffentlich keiner weiteren Erwähnung. Wer die Datei aus dem Archiv ausführt, hat hinterher einen Computer anderer Leute auf seinem Schreibtisch stehen.

Zurzeit wird diese Schadsoftware nur von einem Zehntel der üblichen Antivirus-Produkte erkannt. Wer sich auf seinen Virenscanner verlässt, ist hier also wieder einmal verlassen – aber zum Glück werden die meisten Menschen so einen Sondermüll unbesehen löschen und nicht einen Moment lang glauben, dass er wirklich von Vodafone kommt – denn Vodafone würde sich mit Sicherheit dazu bequemen, in seine Mails auch etwas reinzuschreiben…

Guten Tag

Sonntag, 12. Mai 2013

Guten Tag
anbei ist die das Geld Anweisen beigefuegt.
Mit Freundlichen Gruessen.
Justine Namazi

Sehr überzeugend! Da macht doch sofort jeder den Mailanhang eines völlig unbekannten Absenders auf, der in seiner Mail leider nicht einmal eine Andeutung über den genauen Inhalt macht. Anhänge aus klar erkennbaren Spams sind ja vor allem ein Vehikel zum Transport aktueller Virenkollektionen, und auch wenn es sich hier um ein 306 KiB großes PDF handelt, hat sich der Adobe Reader in der Vergangenheit immer wieder einmal als löchrig und angreifbar erwiesen. Da löscht jeder sofort, der seine fünf Sinne beisammen hat.

Oh, es ist ausnahmsweise gar keine Schadsoftware drin – jedenfalls keine, die schon erkannt würde. Da riskiere ich doch gern mal einen Blick auf das PDF. Wer das auch mit PDFs in Spammails machen möchte, sollte immer paranoid sein und…

  1. …weder die Datei direkt in irgendeinem Programm öffnen,
  2. …noch auch nur mit dem Gedanken spielen, sich das Dokument im Adobe Reader (oder dem entsprechenden Plugin im Webbrowser) anzuschauen.

Ich habe die Datei mit…

$ pdf2ps Justine\ Namazi\ FR.pdf blah.ps

…an der Kommandozeile in eine PostScript-Datei umgewandelt, die ich anschließend zum Lesen in evince geöffnet habe. Andere Betriebssysteme werden andere Wege bieten. Und weil ich gerade am Konvertieren war, habe ich auch eine Grafik daraus gemacht, damit wir alle etwas zum Lachen haben.

Hui, der Absender dieser tollen Mail weiß ja sogar, wie man in seiner Textverarbeitung ein Hintergrundbild einfügt und musste das auch prompt tun, vermutlich, weils in seinen Augen so irre seriös aussah:

Screenshot des Mailanhanges des Vorschussbetrügers

Wie der oben zitierte Text der Mail schon versprochen hat, ist der Anhang mal wieder so richtiger Qualitätsbetrug. :D

Mr. Justine Namazi

Ein Name, den sie noch nie gehört haben, der…

Auditor in chief ADB Bank SA.

…aber angeblich einen großen Tier in einer südafrikanischen Bank gehört. Leider hat dieses große Tier nur…

Email: nnjustine (at) outlook (punkt) com

…eine anonym und kostenlos einzurichtende Mailadresse bei einem Freemailer, die er überdem nicht einmal als Absenderadresse verwendet hat. Über diese von einer unbekannten Anzahl anderer Leute mitlesbare Mailadresse kommuniziert das ganz große Tier dann unverschlüsselt über riesen Geschäfte. Für den Datenschutz in der Bank würde das aber kein gutes Bild abgeben, wenn Mitarbeiter der Bank solches Mails verschickten.

Datum 12/05/2013.

So weit der wahre Teil. Und jetzt zu den Märchen.

Hallo, ich bin Auditor in chief der ADB Bank South Africa. Mein namen sind Justine Namazi, Ich war ein sehr enger Freund von Herr. Donatus Doerig, Staatsbürger ihres Landes.

Hallo, ich habe keine verdammte Ahnung, wie sie heißen. Für mich selbst habe ich mir einen Job und einen Namen ausgedacht, von dem sie noch nie etwas gehört haben. Und jetzt erwähne ich gleich noch einen Namen, von dem sie ebenfalls noch nie etwas gehört haben. Obwohl der Herr Doerig so ein guter Freund von mir war, hat er mir leider kein angemessenes Deutsch beibringen können, und dazu wird es auch nicht mehr kommen, denn…

Herr Doerig arbeitete mit einer Erdöl Bohrfirma in Lybia zusammen. Herr Doerig mit seiner Familie verunglückte bei einem Nato fehlgeleitete Rakete, zerstört Zivilisten Hause in der libyschen Hauptstadt (Tripolis) am Sonntag Morgen 19 Juni 2011 , während der libyschen Aufstand gegen verstorbenen Muammar el-Gaddafi.

…mein ausgedachter Herr Doerig ist zusammen mit seiner ganzen Mischpoke tot. Und jetzt zur Abwechslung mal ein Name, den sie schon kennen: معمر القذافي – oder in vertrauter Transkription Muammar al-Gaddafi – der legendäre Autor des Grünen Buches, Begründer eines in Libyen gleichermaßen zwangsweise wie überreich verabreichten Personenkultes, Terroristenfreund und Geschäftspartner aller vermögenden Regierungen dieser Welt, der sogar nur mit seiner Pistole bekleidet vor den Vereinten Nationen sprechen konnte. Am akuten Lebendigkeitsmangel der anderen, von mir völlig frei erfundenen Person hat er allerdings auch teil.

Alle Insassen des Hause starben bei dem Nato fehlgeleitete Rakete.

Dass ich „Bewohner“ und „Insassen“ immer durcheinanderbringe, muss daran liegen, dass ich als Internetbetrüger ständig auf der Flucht vor der Polizei bin.

Seit dem habe ich zahlreiche Erkundigungen bei Ihrer Botschaft hier in Süd Afrika angestellt um Verwandte meines Freundes ausfindig zu machen. Leider war ich bisher erfolglos. Nach zahlreichen ergebnisslosen Versuchen Herr Doerig Verwandten ausfindig zu machen, habe ich mich entschieden Ihren Namen/ E-mail Aresse übers Internet ausfindig zu machen, da sie die gleiche Nationalität haben.

Ich hätte ja lieber einen Verwandten meiner nicht existenten Person gehabt, aber da es den nicht gibt, habe ich einfach irgendeinen Deutschen genommen. Deshalb maile ich gerade auch alle Deutschen an. Es handelt sich gar nicht um so eine wichtige Sache, es geht nur…

Ich habe Sie kontaktiert um Ihnen dabei zu assistieren Anspruch auf einen Betrag von 15 Millionen US Dollar, hinterlassen von meinem Freund Herr. Doerig, zu erheben, bevor es von der Africa Development Bank of South Africa konfeziert wird.

…so ein Kleingeldzeugs wie fünfzehn Millionen Dollar. Schließlich würde jeder irgendwelchen Unbekannten voller Vertrauen ein bisschen Geld in die Hand drücken, oder?! :mrgreen:

Die ADB Bank of South Afrika hat mich benachrichtigt das ich einen Verwandten ausfindig machen muss oder das Geld wird konfesziert. In meiner Position als Chef Editor der ADB of South Afrika ist es mir Möglich das Geld auf ein gültiges ausländisches Konto zu überweien mit der Versicherung das dass Geld komplett sein wird bis ich zu ihnen komme um das Geld mit Ihnen zu teilen.

Also machen wir einfach folgendes Geschäft: Wir führen einen gemeinsamen Betrug durch.

Da es mir seit ein Jahr nicht gelungen ist Verwandschaft von Herr Doerig ausfindig zu machen, versuche ich Ihr Einverständnis zu bekommen Sie als nächste Verwandten des Verstorbenen zu präsentieren da Sie die gleiche Nationalität haben und somit das Geld zu Ihnen überwiesen werden kann.

Sie fälschen ein paar Papiere (das mache ich für sie, da habe ich Connections für, müssenswissen, aber einen mir bekannten Partner für die Geldsachen habe ich natürlich nicht, verstehensschon), und dann treten sie das Erbe an, und danach machen wir halbe-halbe. Wieso ein in Südafrika lebender Deutscher während einer ausgesprochen brenzligen Situation in Libyen sein sollte, ist eine Frage, die sie sich jetzt vor lauter Gier schon gar nicht mehr stellen sollten. Denken sie einfach immer nur an den riesen Haufen Zaster! Denken sie nicht daran, dass sie nicht einmal den gleichen Namen haben! Denken sie nicht daran, dass man dann ja jede beliebige Person dafür nehmen könnte! Denken sie gar nicht mehr! Außer daran, dass ganz viel Geld überwiesen wird und dass sie schnell zugreifen müssen, denn sonst ist das ganze viele Geld weg…

Einmal die übliche Masche Vorschussbetrug eben.

Wenn Sie an meinen Vorschlag interessiert sind, können wir die Teilungsverhältnisse und Uberweisungsmodalitäten besprechen. Ich besitze alle nötigen Informationen und gesetzlichen Dokumente um Ihre Anspruchsforderung zu unterstützen falls Se sich dazu entscheiden.

Wenn sie ihren Verstand verloren haben, nehmen sie bitte Kontakt zu mir auf, damit ich ihnen schöne weitere Märchen erzählen kann! Es ist natürlich alles in bester Ordnung hier in Südafrika, nur noch diese Formalität, jene Formalität, eine kleine Beglaubigung, ein Termin beim Notar, ein paar Polizisten und Kollegen, die bestochen werden müssen… und immer müssen sie dafür finanzielle Vorleistungen bringen, und zwar nie auf ein richtiges Bankkonto, sondern schön anonym über Western Union oder MoneyGram. Davon gehe ich dann mit meiner Bande in den Puff und mache mir ein schönes Leben mit ihrem Geld. Und wissen sie, was ich gleich von ihnen haben möchte? Da kommen sie nie drauf! Ich möchte…

Ich brauche nur Ihre ehrliche Zustimmung zur Zusammenarbeit um uns diese Transaktion zu ermöglichen.

…ausgerechnet „Ehrlichkeit“ von ihnen haben. :mrgreen:

Ich garantiere Ihnen das dies nur unter legalen/ gesetzlichen Vorraussetzungen stattfinden wird.

Übrigens garantiere ich ihnen, dass ein Betrug zur Erlangung einer Erbschaft, die einem gar nicht zusteht, völlig legal wäre. Oder glauben sie etwa, dass sie von einem unbekannten Betrüger in einer Spam angelogen würden?

Bitte kontaktiren Sie mich unter meiner E-mail:
nnjustine (at) outlook (punkt) com ,oder: jnjustine (at) blumail (punkt) org.

Bitte beantworten sie meine Mail auf gar keinen Fall, indem sie auf „Antworten“ klicken, denn mein Absender ist gefälscht.

Wenn Sie sich aber entschliessen nicht mit mir zusammen zu arbeiten, vertraue ich darauf das Sie diese Angelegenheit diskret behandeln.

Seien sie in jedem Fall so „diskret“ wie eine millionenfache Spam!

Mit freundlichen Grüssen
Justine Namazi

Mit mechanischem Gruß
Ihr Vorschussbetrugsspammer

Ihre Bordkarte(n)

Dienstag, 19. März 2013

Nein, diese Mail kommt nicht von Condor. Der Absender ist gefälscht. Die Angaben in der Mail sind Lüge. Es ist kriminelle Spam, die mit alarmierenden Inhalt dafür sorgen soll, dass viele Empfänger den Anhang öffnen. Es ist Massenware. Allein bei mir sind heute im Verlauf einer Stunde fünf davon auf unterschiedlichen Mailadressen angekommen. Und ich erwarte garantiert keine Flugtickets, ich weiß nämlich noch nicht einmal, was ich heute essen soll.

Lieber Passagier,

Ah ja, einen tollen Namen habe ich heute von den Spammern bekommen.

im Anhang dieser Mail finden Sie in Form eines PDF Dokumentes, die von Ihnen angeforderte(n) Bordkarte(n). Bitte drucken Sie Ihre Bordkarte(n) im DIN A4 Format aus, Sie ben�tigen Ihre Bordkarte(n) bei den Sicherheitskontrollen, am Abflugsteig (Gate) bzw. wenn Sie mit Gep�ck reisen bereits am Baggage Drop-off.

Ich verstehe, so ein PDF trägt die Dateinamenserweiterung .exe und ist eine ausführbare Datei für Microsoft Windows. Wer die unter Microsoft Windows öffnet, führt ein Programm von Verbrechern auf seinem Computer aus und hat in der Folge hinterher einen Rechner anderer Leute auf seinem Schreibtisch stehen. Diese anderen Leute werden genügend Möglichkeiten finden, einen kriminell übernommenen Computer für ihre üblen „Geschäftsideen“ zu „benutzen“.

So genannte „Antivirenprogramme“ – von mir liebevoll „Schlangenöl“ genannt – bieten einmal mehr einen sehr unzuverlässigen Schutz, die Schadsoftware wird zurzeit von der Mehrzahl der Programme nicht erkannt. Ein wesentlich besserer Schutz ist die Verwendung eines anderen Betriebssystemes als Microsoft Windows. Alternativen stehen kostenlos zum Download zur Verfügung und sind auf einem aktuellen Computer in weniger als einer halben Stunde vollständig installiert.

P�nktlichfliegen: Finden Sie sich sp�testens 45 Minuten vor der geplanten Abflugzeit am Abflugsteig (Gate) ein! Planen Sie unbedingt ausreichend Zeit f�r Pass- und Sicherheitskontrollen ein!

Zur Darstellung von PDF-Dateien benoetigen Sie den Adobe Reader. Sollten Sie den Adobe Reader noch nicht auf Ihrem Computer installiert haben, koennen Sie diesen unter http://get.adobe.com/de/reader kostenlos herunterladen und installieren.

Der Rest ist Mummenschanz. Zum Glück sind die spammenden Verbrecher zu unfähig, diese komischen Vokale mit den Pünktchen drüber korrekt codiert in einer E-Mail unterzubringen, so dass kaum anzunehmen ist, dass viele Leute darauf reinfallen werden.

Was ich immer wieder sage, gilt einmal mehr: E-Mail-Anhänge, die in nicht digital signierten und damit in der Absenderangabe beliebig fälschbaren Mails zugestellt werden, stinken. Es handelt sich beinahe ausnahmslos um Schadsoftware. Niemals sollte ein solcher Anhang geöffnet werden. Auch nicht, wenn die Mail vorgibt, von einer Unternehmung zu kommen, mit der man selbst im Geschäft ist. Sicherheit über den Absender schafft nur die digitale Signatur der Mails, ein Verfahren, dass seit deutlich über einem Jahrzehnt zur Verfügung steht.

Die Masche mit den „Tickets“, „Rechnungen“ und „Mahnungen“ als E-Mail-Anhang muss ausgesprochen erfolgreich sein, denn sie läuft seit Wochen und in immer wieder neuer Verpackung und unter Beschmutzung immer neuer Firmierungen mit den kriminellen Machenschaften der Spammer.

Condor w�nscht Ihnen einen angenehmen Flug.

Condor hat diese Mail nicht versendet. Und ich wünsche den Menschen, die diese Mail versendet haben, ein äußerst unangenehmes, schmerzhaftes, langwieriges, angstvolles und einsames Verrecken.

Diese E-Mail wurde Ihnen von Condor Flugdienst GmbH zugestellt. Vorsitzender des Aufsichtsrates: Heiner Wilkens. Gesch�ftsf�hrung: Ralf Teckentrup (Vorsitzender), Uwe Balser, Dr. Ulrich Johannwille. Sitz: Kelsterbach. Registergericht und Handelsregister Nr.: Amtsgericht Darmstadt Nr. 83385

Von wegen!

Your BlackBerry ID has been created

Dienstag, 12. Februar 2013

Wie jetzt, ich habe gar kein Telefon…

(Gefälschter) Absender der Mail ist donotreplay (at) blackberry (punkt) com. Die Mail ist mir durch die Spamfilter geflutscht, und das wird vermutlich auch bei anderen immer wieder einmal geschehen.

Your BlackBerry ID has been created

Das hast du schon im Betreff gesagt.

Hello,

Der Absender hat keine verdammte Ahnung, wie seine Empfänger heißen. Vermutlich müssen sie…

You‘ve created a BlackBerry ID!

…bei der Erzeugung einer BlackBerry ID nicht auch noch sagen, wer sie sind.

To enjoy the full benefits of your BlackBerry ID, please follow the instructions in the attached file

Diese angehängte Datei ist etwas, worauf ich gleich noch einmal zurückkomme:

BlackBerry ID is your universal BlackBerry key. Here’s what it offers:

  • One sign in for all BlackBerry applications, services, and websites.
  • Automatic transfer of some email accounts and services when you switch smartphones.
  • Full access to all features in BlackBerry App World™ storefront.
  • Protection of financial transactions using BlackBerry services.

You can learn more about BlackBerry ID by visiting https://blackberryid.blackberry.com/

The BlackBerry Team

This email has been automatically generated. Please do not reply to this email.

If you have not previously indicated that you wish to receive emails from Research In Motion Limited and/or its affiliated companies regarding exclusive offers and updates about BlackBerry products and services and you would like to do so, please click here.

Research In Motion Limited, 295 Phillip St., Waterloo, Ontario, Canada, N2L 3W8

2012 Research In Motion Limited. All rights reserved. BlackBerry, RIM, Research In Motion and related trademarks, names and logos are the property of Research In Motion Limited and are registered and/or used in the U.S. and countries around the world.

Alle Links führen auf die Domain blackberry (punkt) com, die Mail sieht also durchaus „echt“ aus. Dass sie nicht echt ist, zeigt sich zum Beispiel daran, dass sie auch bei mir angekommen ist, obwohl ich lieber ein smart brain als ein smart phone habe. Ein Blick in den Mailheader und ein bisschen anschließendes whois-Tippen zeigt, dass diese Mail über die dynamische IP-Adresse eines indischen Zugangsproviders versendet wurde, also mit an Sicherheit grenzender Wahrscheinlichkeit über einen mit Schadsoftware gekaperten Privatrechner. Sämtliche Angaben in dieser Mail haben also nichts mit dem wirklichen Absender zu tun.

Diese Mail soll auch niemanden dazu bringen, auf einen Link zu klicken. Vorlage für den Text ist vermutlich eine echte derartige Mail. Es gibt genau einen Satz, der einen Fehler enthält: Der Hinweis, dass man den Anhang öffnen soll, wird nicht mit einem Punkt beendet. Dieser Hinweis wurde also vermutlich von den Spammern hinzugefügt, um Empfänger zu Opfern zu machen.

Der Anhang ist ein ZIP-Archiv, das genau eine Datei enthält. Diese hat den Dateinamen BlackBerry Instructions (punkt) pdf (punkt) exe, es handelt sich also nicht um ein PDF, sondern um eine ausführbare Datei für Microsoft Windows, die von kriminellen Spammern unter Angabe eines falschen Absenders versendet wird. Wer sein Windows in den Voreinstellungen belassen hat, die wirkliche Dateinamenserweiterung .exe nicht gesehen hat und die trügerisch harmlos aussehende Datei deshalb mit einem Doppelklick geöffnet hat, hat Software von Kriminellen auf seinem Rechner ausgeführt und hat jetzt einen Rechner anderer Leute vor sich stehen, der beliebig von Kriminellen missbraucht werden kann und missbraucht werden wird.

Wie so oft, wird die Schadsoftware zurzeit nicht von allen so genannten „Virenscannern“ erkannt. Wer sich auf die „gefühlte Sicherheit“ verlassen hat, die ihm sein Antiviren-Programm vermittelt, ist also in vielen Fällen verlassen. Wer hingegen in den Ansichts-Einstellungen für den Windows-Explorer das Häkchen bei „Erweiterungen bei bekannten Dateitypen ausblenden“ entfernt hat¹, konnte auf dem ersten Blick sehen, dass es sich bei dem angeblichen PDF-Dokument um eine ausführbare Datei für Microsoft Windows handelt und sich seinen Teil dazu denken, warum jemand so einen Mummenschanz nötig hat.

Die naheliegende Frage, warum Microsoft Windows nach der Installation in einer unsicheren Voreinstellung daherkommt, die in erster Linie der organisierten Internet-Kriminalität hilft, ohne dass sie dem Anwender einen Nutzen bringt, bitte an Microsoft stellen. Irgend etwas werden die sich dabei schon gedacht haben. Ich weiß nur nicht, was…

¹Korrigiert nach Hinweis von Elisa M. Ich wusste nicht genau, wie das in der deutschen Übersetzung heißt, weil ich beinahe niemals an einem deutschen Windows sitze.

Zahlungsbestätigung Theheatcompany.com Deutschland GmbH de 2013

Donnerstag, 7. Februar 2013

Diese wundersame Mail mit einem Hinweis einer Zahlungsbestätigung für eine niemals geblechte Zahlung von niemals einer gehörten Firmierung [gnhihi! Deutschland GmbH!] wurde von einer statischen IP-Adresse aus dem Adressbereich der Hetzner Online AG versendet. Davon, dass der „Kunde“ jemals seine zukünftigen Rechnungen bezahlen wird, kann sich die Hetzner Online AG wohl verabschieden. Der Absender efact610 (at) afterbuy (punkt) de ist gefälscht und jedesmal anders. Das gilt im Text dieser Mail auch für die Kundennummer und den Rechnungsbetrag.

п»ї

Hey, Spammer! So schwer ist das nicht, einen richtigen charset hinter dem Content-type anzugeben! Dann brauchst du keine obskuren Konvertierungen deiner Mülltexte machen, die immer wieder einmal fehlschlagen. Zu doof zum Spammen mal wieder…

Kunden-Nr.: 943845872

Guten Tag,

Eine tolle persönliche Ansprache eurer Kunden habt ihr da! Und wenn ich diese Nummer sehe, boah ey, neunstellig! Ihr wollt fast eine Milliarde Kunden haben, obwohl ihr ihnen im Ton so patzige Drecksmails schreibt, in denen man mit einer Nummer und nicht mit einem Namen angesprochen wird, und in denen ihr von irgendwelchen Zahlungen und Rechnungen faselt, ohne zu sagen, wofür?

Kommt, Idioten. Netter Versuch, aber ziemlich verpatzt.

Ihre Rechnung finden Sie in unserer Online-Rechnungsbeilage als ZIP-Datei. [sic!] Die Gesamtsumme im Monat Januar 2013 wurde geändert:
301,68 EUR

Hmm! „In der Online-Rechnungsbeilage als ZIP-Datei“ – habt ihr vor dem Absenden dieses Strunzes mal euren Deutschbeauftragten gefragt, wie das Ergebnis eurer Bullshit-Bemühungen auf einen Empfänger wirkt? Und dann ist meine Rechnung also eine ZIP-Datei. Und ich dachte schon, sie sei etwas lesbares oder druckbares, aber es ist doch nur ein verbreitetes Archiv-Format. Großartig! Ein Zehnjähriger, der so ein Gestammel im Deutschunterricht von sich gibt, bekäme ein „ungenügend“ dafür.

Ach ja, die ZIP-Datei, die an die Mail gehängt ist. Sie besteht aus 244,9 KiB komprimierter Güte und enthält genau eine Datei. Und diese ist ein direkt ausführbares Programm für Microsoft Windows, das von Kriminellen mit einer Spam zugestellt wurde. Wer dieses Progrämmchen gestartet hat, hat verloren. Der Rechner, an dem er sitzt, gehört jetzt anderen und wird aktiv missbraucht. Die Schadsoftware wird zurzeit immer noch nicht (die Mail ist ca. 20 Stunden alt) von der Mehrzahl der so genannten „Antivirus“-Programme erkannt. Unglücklicherweise ist sie zumindest bei mir durch den Spamfilter geflutscht. Wer sich auf Automatismen verlässt und ansonsten von seiner Neugierde getrieben auf alles klickt, was sich nur klicken lässt, kann also darauf reinfallen. Wer sich angewöhnt, solchen Schrott einfach zu löschen, hingegen nicht. Sogar, wenn er gar keinen „Virenscanner“ hat…

Diese Spam wurde mechanisch erstellt und kommt ohne Grußformel.

MMS-Nachricht

Donnerstag, 31. Januar 2013

Und ich dachte immer, die gehen an eine Telefonnummer und nicht an eine Mailadresse. Die gefälschte Absenderadresse der Spam ist mms (at) t (strich) mobile (punkt) de, aber meine beiden Exemplare dieser Spam wurden von der dynamischen IP-Adresse eines mit Schadsoftware übernommenen Privatrechners aus Israel versendet.

Die Text der Mail ist dürftig:

Telefonnummer +491600949126

Offenbar soll das die Telefonnummer eines Absenders sein. In meinen beiden Exemplaren hatte ich zwei verschiedene Nummern, so dass ich davon ausgehe, dass die Telefonnummer immer wechselt.

Die Bombe steckt im Anhang. Es handelt sich um ein ZIP-Archiv, in dem sich eine ausführbare Datei für Microsoft Windows befindet, die mit ihrem Dateinamen so tut, als wäre sie ein JPEG-Bild. Wer sein Windows in den Standardeinstellungen belassen hat, nicht die Dateinamenserweiterung .exe gesehen hat und auf diese Datei (der Name ist variabel) foto (strich) 965904 (punkt) jpg (punkt) exe doppelt geklickt hat, hat verloren. Sein Rechner gehört jetzt der organisierten Internetkriminalität und versendet vermutlich schon selbst derartige Spams – wie üblich handelt es sich um brandaktuelle Schadsoftware. Immerhin wird diese kriminelle Überrumpelung von den meisten „Virenschutzprogrammen“ erkannt, wenn sie dann in den letzten 16 Stunden mit aktuellen Signaturdateien versorgt wurden.

Gut, dass man für derart dümmliche Angriffe keinen Virenchecker braucht, sondern einfach schnell auf die Löschtaste hauen kann – eine MMS geht nun einmal an eine Telefonnummer und nicht an eine Mailadresse und die Unternehmung T-Mobile wird, wenn sie ihre Kunden überhaupt anmailt, mit Sicherheit eine persönliche Ansprache wählen und nicht so einen Krüppeltext versenden.

Wie ich gerade sehe, ist der Schrott gestern auch in der Golem-Redaktion angekommen