Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.


Schlagwortarchiv „Fax“

Kurz verlinkt: Neues Fax von 034205-99xxxx

Donnerstag, 25. Februar 2016

Dies ist kein hier gegebenes, kommentiertes Zitat einer Spam, sondern ein Hinweis auf die aktuelle Masche der Schadsoftware-Gangster bei botfrei.de: Die Schadsoftware tarnt sich als ein bei Sipgate angekommenes Fax, das als Mailanhang versendet wird. Dieser Anhang ist wie immer vergiftet, es handelt sich um den Erpressungstrojaner „Locky“.

Also: Den Anhang nicht aufmachen, sondern die Spam löschen (oder abspeichern und für die Strafanzeige gegen Unbekannt als Beweismaterial zur Polizei mitnehmen).

Sehr gelungen sind die dort gegebenen Hinweise zur Prävention für Anwender von Microsoft Windows – wobei mir besonders gut gefällt, dass Antivirus-Programme in der Liste ganz weit unten stehen und Backups, vernünftige Einstellungen von Betriebssystem und Programmen, die ausschließliche Verwendung aktueller Software und die äußerste Vorsicht bei E-Mail-Anhängen ganz weit oben stehen. ;)

Die dort gegebenen weiterführenden Links sollten auch weniger erfahrenen Nutzern weiterhelfen.

Denn etwas Vorsicht ist nun einmal besser als das Nachsehen zu haben…

Fax sendebericht

Montag, 23. Juni 2014

Klar, ein „sendebericht“, was denn sonst. Klingt ja auch viel hübscher als „Müll spam“. Und Wunder der Technik! Dieser Spammer kann nicht nur das Substantiv nicht groß schreiben, er kann auch HTML-Tabellen in einer HTML-formatierten Mail setzen und damit fast vergessen machen, was für ein komisches Datum doch dieser Tag mit der Bezeichnung 23/14 ist. Das kann nicht jeder:

Fax sendebericht
S-Nr. 73404451
Modus Standard
Datum/Uhrzeit 23/14 12:22
Fax-nr./Name +49 4731 9174 xxx
U.-Dauer 00:01:52
Seite(n) 2
Download

Diese E-Mail ist frei von Viren und Malware, denn der avast! Antivirus Schutz ist aktiv.

[Die angebliche Faxnummer habe ich unkenntlich gemacht.]

Letztere Zusicherung ist besonders nett, denn man weiß ja nie bei krimineller Spam, ob da nicht irgendeine Seuche dranhängt. Und vor allem ist sie so glaubwürdig! :mrgreen:

Was der Spammer allerdings möchte, ist, dass möglichst viele Empfänger auf den Link „Download“ klicken. Ich weiß nicht in jeder Einzelheit, was man sich auf den von diesen freundlichen Internetkriminellen gestalteten Websites noch alles so einfangen kann, aber die besondere Kunst, in der man durch eine Kaskade von verschiedenen Seiten geleitet wird, dokumentiere ich gern mit einem Schnippselchen des HTML-Quelltexts in Form eines Screenshots meines Editors¹:

Screenshot meines Editorfensters mit einer äußerst verdächtigen Weise, JavaScript zu benutzen

Wer kein Javascript lesen kann: Hier werden Variablen mit sehr kryptischen Namen jeweils mit Zeichenketten aus einem einzigen Zeichen belegt, und welches Zeichen verwendet wird, ist jeweils in einer Exklusiv-Oder-Verknüpfung der einzelnen Bits zweier Ganzzahlen gecodet. Aus den so belegten Variablen wird dann zusammengesetzt, wohin der Browser gehen soll – wenn man denn die Ausführung von Javascript gestattet².

Die so interessant verborgene Fahrt ins Blaue geht übrigens zur URL http (doppelpunkt) (doppelslash) ildragodeicomputer (punkt) com (slash) reserved (slash) fax (underline) 23 (strich) 06 (strich) 2014 (strich) TX6381A7481 (punkt) zip. Es handelt sich um ein ZIP-Archiv, in dem eine ausführbare Datei für Microsoft Windows liegt; eine Datei übrigens, die mit ihrem Piktogramm versucht, wie ein PDF auszusehen und damit den Spamempfänger irrezuführen – tja, und wer dieses von Verbrechern zugestellte Programm ausführt, der hat hinterher einen Computer anderer Leute auf dem Schreibtisch stehen. Das Antivirus-Programm nützt nichts, es handelt sich – wie immer bei solchen Innovationen in der Durchführung – um hochaktuelle Schadsoftware, die zurzeit von deutlich weniger als zehn Prozent der gängigen Antivirus-Programme erkannt wird. Der eingebaute Virenschutz im Gehirn hingegen, der solche Spam klar als Spam erkennt und einfach unbeklickt löscht, der schützt immer zu hundert Prozent. Oder, um es noch einmal ganz deutlich zu sagen: Antivirus-Programme sind Schlangenöl.

Aber zum Glück hat ja hoffentlich jeder gemerkt, dass diese Mail nicht von seinem Faxempfangsgerät kam…

¹Dass ich mir nicht gerade mit einem aufgeplusterten grafischen Browser anschaue, wohin die Reise geht, sondern mir zuvor den Quelltext lieber mit lynx abhole, um einen genauen Blick darauf zu werfen, liegt ganz einfach an meiner Paranoia, wann immer ich es mit den Machwerken von Leuten aus der organisierten Internet-Kriminalität zu tun habe. Wer nicht weiß, wie man sich schützen kann – und nein: ein Antivirus-Programm und eine so genannte personal firewall sind kein Schutz – sollte gar nicht erst darüber nachdenken, in eine Spam zu klicken! Das bisschen befriedigte Neugierde ist den möglichen Ärger nicht wert.

²Eine Website das Ausführen von Javascript zu gestatten, ist ein Privileg, mit dem man unbedingt geizen sollte. Beinahe alle ausbeutbaren Sicherheitslücken der letzten Jahre standen im Zusammenhang mit Javascript – und eine Website, die ohne Javascript nichts mitzuteilen hat, liefert mit Javascript im Regelfall auch nur entbehrlichen „Content“. Die Installation des Addons NoScript ist eine wichtige Sicherheitsmaßnahme, die ein großes Sicherheitsproblem an der Wurzel bekämpft.

fax aus +49 (0) 30 999 117 xx – 24 seiten

Dienstag, 29. April 2014

[Die letzten beiden Stellen der Telefonnummer sind unkenntlich gemacht, diese Telefonnummer hat nichts mit dem Absender dieses Mülls zu tun.]

So so, jetzt wird mir schon der Maileingang zugefaxt. „Aus“ irgendeiner Nummer, die ich noch nie gesehen habe…

Faxnachricht [Caller-ID: +49 (0) 30 999 117 xx]
Seiten: 24.
Datum: 2014-04-28 13:05:44 UTC.
Kennziffer: A378219D4414DF78922B.

Sogar an eine Uhrzeit hat der Spammer gedacht, wenn auch aus einer hierzuland eher unüblichen Zeitzone. Und ein paar Buchstaben und Zahlen hat er durchgemischt, um eine völlig nutzlose Information anzugeben.

Die eigentliche „Mitteilung“ liegt natürlich im Anhang. Dieser ist ein ZIP-Archiv, in dem eine .exe herumliegt, also eine ausführbare Datei für Microsoft Windows, die von einem kriminellen Spammer zugestellt wurde. Um was es sich dabei handelt, bedarf hoffentlich keiner weiteren Erläuterung mehr. Wer diese Datei ausführt, hat hinterher einen Computer anderer Leute auf seinem Schreibtisch stehen, und diese Leute sind nichts, was man nur irgendwie in seiner Nähe haben möchte.

Wer sich auf Virenscanner verlassen hat, war bei der aktuellen Schadsoftware in über 60 Prozent der Fälle verlassen. Besser war dran, wer diese Spam als Spam erkannt und einfach gelöscht hat…

Fax von 04589016238

Mittwoch, 13. November 2013

Der Absender nennt sich FRITZ!Box und gibt als (gefälschte) Absenderadresse eine obskure Mailadresse in der Domain online (punkt) de an. In den sechs Exemplaren, die es in mein Postfach „geschafft“ haben, wurde die Spam jeweils über eine dynamische IP-Adresse der Deutschen Telekom versendet, also mit an Sicherheit grenzender Wahrscheinlichkeit von einem Privatrechner, der mit Schadsoftware übernommen wurde.

Diese Mails kommen also nicht aus einer FRITZ!Box. Das merkt man allerdings auch daran, dass sie bei mir ankommen, obwohl ich keine FRITZ!Box habe.

Dafür, dass der Schrott sechsfach im verrotteten Pack kam, ist er allerdings recht wortkarg:

Fax von 04589016238

Großes Kino! Irgendeine Ziffernfolge soll ein Fax gesendet haben, ist aber offensichtlich unfähig, einfach mal anzurufen, wenn die Telefonnummer schon bekannt ist.

Das „Fax“ ist ein ZIP-Archiv mit einer .exe-Datei. Es handelt sich nicht um ein Dokument, sondern um eine ausführbare Datei für Microsoft Windows, zugestellt von Typen, die Privatrechner mit Schadsoftware übernehmen und zu Zombies für den Spamversand umbauen. Was passiert, wenn man diese Software ausführt, sollte auch einem Menschen eingeschränkten Abstraktionsvermögens klar sein. Kleiner Tipp: Es werden keine Einhörner auf Wolken aus Feenstaub herantraben.

Erfreulicherweise wird die Schadsoftware von mehr als der Hälfte der gängigen Antivirus-Programme erkannt. Von etwas weniger als der Hälfte hingegen nicht – und deshalb ist es in jedem Fall wichtig, dass man Spam selbst als solche erkennt. In diesem Fall ist es einfach: Ein angebliches Fax, das aus einer ausführbaren Datei in einem ZIP-Archiv besteht, ist etwa so glaubwürdig wie ein Brief, der als Paket kommt und die tickenden Geräusche einer Zeitbombe von sich gibt… ;)