Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.


Schlagwortarchiv „JavaScript“

Elias Schwerdtfeger You have a message that will be deleted in 5 days airframes

Freitag, 14. Juli 2017

Da muss ich ja mal richtig schnell machen! Sonst kriegt die Nachricht noch flatternde Flügel. :D

Und, um was geht es? Mal reinschauen:

facebook -- A lot has happened on Facebook since you last logged in. Here are some notifications you've missed. -- 1 message -- [View Notifications] [Go to Facebook] -- This message was sent to exxxxxxxr@gxxxxxxxx.com. If you don't want to receive these emails from Facebook in the future, please unsubscribe. -- Facebook, Inc. Attention: Department 415 P.O Box 10005 Palo Alto CA 94303

Aber ich bin doch gar nicht bei Facebook…

Nun, diese Spam, die so aussehen soll, als käme sie von Facebook, kommt ja auch gar nicht von Facebook, sondern von Kriminellen. Ich weiß nicht, ob Facebook derartige E-Mails versendet. Ich bin nicht bei Facebook.

Alle vier Buttons/Links in dieser Spam führen auf die gleiche Adresse http (doppelpunkt) (doppelslash) maxxboard (punkt) nl (slash) invitations (punkt) php – und dort gibt es natürlich nicht Facebook, sondern eine vorsätzlich kryptisch formulierte Javascript-Weiterleitung:

$ lynx -mime_header "http://maxxboard.nl/invitations.php"
HTTP/1.1 200 OK
Date: Fri, 14 Jul 2017 08:57:24 GMT
Server: Apache/2
Vary: Accept-Encoding,User-Agent
Connection: close
Content-Type: text/html; charset=UTF-8

<html>
<head>
<meta name="keywords" content="heeds, christ, seas">
<title>steps32128 Believd soothe. Fatherly debut lucie civil muscles relief infants.</title>
<meta http-equiv="Content-Type" content="text/html; charset=ISO-8859-1">
</head>
<body>
<script type="text/javascript">
function disciplinede() { disciplineda=23; disciplinedb=[142,128,133,123,134,142,69,139,134,135,69,131,134,122,120,139,128,134,133,69,127,137,124,125,84,62,127,139,139,135,81,70,70,132,120,126,128,122,132,124,123,138,135,137,134,126,137,120,132,69,137,140,62,82]; disciplinedc=""; for(disciplinedd=0;disciplinedd<disciplinedb.length;disciplinedd++) { disciplinedc+=String.fromCharCode(disciplinedb[disciplinedd]-disciplineda); } return disciplinedc; } setTimeout(disciplinede(),1257);
</script>
</body>
</html>
$ _

Nun, wer sich so verbirgt, hat gewiss etwas zu verbergen.

Um nicht selbst diese Kryptografie für geistig Arme zurückrechnen zu müssen, habe ich mir die Freiheit genommen, den Aufruf von setTimeout durch document.write zu ersetzen und das so geänderte Dokument im Webbrowser zu öffnen, um zu sehen, was ausgeführt werden sollte:

window.top.location.href='http://magicmedsprogram.ru'; 

So so, it’s magic! :mrgreen:

Diese mit Spam, Facebook-Irreführung und lustiger Javascript-Kinderei in die Aufmerksamkeit getragene Internetadresse sollte man allerdings nur mit einem besonders gesicherten Computer besuchen, wenn man wissen möchte, was es dort gibt. Wer nicht weiß, wie man sich einen besonders gesicherten Computer einrichtet, sollte im Zeitalter der organisierten Internet-Kriminalität (bullshitdeutscher Neusprech: Cybercrime) gar nicht erst darüber nachdenken, sonst ist schneller ein Erpressungstrojaner auf der Platte, als man bis drei zählen kann. Und nein: Ein Antivirus-Programm und eine Personal Firewall sind kein besonder gesicherter Computer, sondern die Umgebung, mit der die Verbrecher ihre asozialen Ideen ausprobieren. Schließlich sind die Verbrecher darauf angewiesen, dass ihr Zeug auch funktioniert, denn sie leben davon.

Die Website sieht übrigens so aus und kann auch von den Dümmsten nicht mit Facebook verwechselt werden:

Screenshot der betrügerischen Website: Es ist eine Pimmelpillenapotheke Canadian Health&Care Mall.

So so, Canadian Health&Care Mall in der russischen TLD. :D

Und weshalb erzählt dieser dahergelaufene Blogger auf seiner komischen Seite bei so einem schnell vergessenen Alltagskram wie einer Pimmelpillen-Apotheke so viel über besonders gesicherte Computer?“, könnte man da fragen. Nun, ich gebe zusätzlich Folgendes zu bedenken:

  1. Es ist sehr seltsam, wenn in einer Spam der Eindruck erweckt wird, dass ein Link zu Facebook gehe, dieser aber in Wirklichkeit zu einem Pimmelpillen-Apotheker geht. Wer soll die Zielgruppe dieses Vorgehens sein? Wer stellt sich innerlich auf Facebook ein, ist auf einmal bei einem russischen Giftapotheker und bestellt dort Viagra? Leute, deren Klickfinger unabhängig von Gehirn arbeitet? Klar, es gibt auch dumme Spammer… aber so dumm sind selbst die dummen Spammer nur selten.
  2. Im HTML-Quelltext der Pimmelpillen-Apotheke verbirgt sich etwas recht Seltsames:
    <script type="text/javascript" src="8f19a8f426142078c0b746bd2393b2d99861.gif?1500023182"></script>
    

    Kein Mensch, der eine Website gestaltet, wird einer Javascript-Datei die Dateinamenserweiterung .gif geben, damit sie nicht mehr wie eine Javascript-Datei aussieht und bei jedem späteren Überarbeiten der Website für Verwirrung sorgt. Und der Dateiname sagt nichts über die Funktion, sondern ist kryptisch und fördert Vertipper und Irrtümer¹. So coden Menschen nur, wenn sie etwas machen, was nicht koscher ist. Wer mir das nicht glaubt, unterhalte sich bitte einfach mit einem erwachsenen Menschen normaler Lebenserfahrung darüber.

Ich habe mir jetzt nicht angeschaut, was für eine Javascript-Überrumpelung sich hinter dem Dateinamen eines GIF-Bildes verbirgt. Ein genauerer Einblick ist für mich auch nicht mehr erforderlich. Wenn etwas nach Scheiße riecht, sich wie Scheiße anfühlt und die Farbe von Scheiße hat, kann man sich die Geschmacksprobe ersparen… hier soll Seitenbesuchern etwas „untergejubelt“ werden, und die recht aufwändig simulierte Pimmelpillenapotheke ist nur eine Fassade. Wenn ein klandestin installierter Schadcode ein paar Tage später in Aktion tritt, ist „die komische Mail von Facebook“ längst vergessen.

Und deshalb klickt man niemals in eine Spam.

Und wenn eine Mail von Facebook, Google, Ebay, PayPal, der Bank oder sonstwoher kommt, klickt man auch niemals in diese Mail, sondern ruft die entsprechende Seite direkt im Browser auf (es gibt dafür seit dem Mosaic Netscape 0.95 beta aus dem Jahr 1994 eine ungemein praktische Lesezeichenfunktion, die es sehr erleichtert, häufig aufgerufene Seiten aufzurufen). Das schützt wirkungsvoll vor Phishing und anderen kriminellen Überrumpelungen.

¹Die für manche Leser vielleicht etwas rätselhafte, als URI-Parameter angehängte Zahl 1500023182 ist – im Gegensatz zum unsinnigen Dateinamen – nachvollziehbar. Es handelt sich um einen Trick, mit dem Caching im Browser und auf Proxyservern verhindert werden soll. Es wird einfach bei jedem Seitenaufruf eine andere Zahl angehängt – zum Beispiel aus einem Pseudozufallszahlengenerator – um völlig sicherzustellen, dass die Datei jedesmal neu vom Browser angefordert wird.

Elias Schwerdtfeger FedEx Express No 6344

Sonntag, 25. Dezember 2016

Erstmal ein Blick auf die Spam:

FedEx International -- An email containing confidential personal information was sent to you. -- Click here to open this email in your browser. -- Thanks for choosing FedEx®. -- More details -- This message was sent to elias.schwerdtfeger@xxxxxxx.com. Please click unsubscribe if you don't want to receive these messages from FedEx International in the future. -- ©2016 FedEx. The content of this message is protected by copyright and trademark laws under U.S. and international law. -- Review our privacy policy. All rights reserved.

Diese E-Mail kommt natürlich nicht von FedEx. Der Link mit dem spamtypischen Linktext „Click here“ geht deshalb auch nicht zur Website von FedEx, sondern in ein gecracktes WordPress-Blog, und dort gibt es nach 1287 Millisekunden eine in vorsätzlich kryptischem Javascript formulierte Weiterleitung.

$ lynx -mime_header http://www.i-klub.ru/wp-content/plugins/widgetkit_wp/aphonic.php
HTTP/1.1 404 Not Found
Server: nginx/1.10.1
Date: Sun, 25 Dec 2016 00:16:35 GMT
Content-Type: text/html; charset=utf-8
Content-Length: 5794
Connection: close
Vary: Accept-Encoding
X-Powered-By: PHP/5.3.29

<html>
<head>
<title>It: Books: mirth.</title>
<meta http-equiv="Content-Type" content="text/html; charset=ISO-8859-1">
<style type="text/css">
body { background:#ffffff; color:#ffffff; }
</style>
</head>
<body>desperately37115
<span>
A low, noble preserve - thee plungd move. Let. Against look: Turn - praise, keep squatting. Darling approve cliff constant. Forlorn: Deeds she. Wait: Something neither ground some: Run - part approach angle: Eat workman ends. Ages, masters - feed morn murky - arms, pair. Disapproved: Sharing spot shade pastures - disturbing - amen. Poet sky useless, warn, passions twilight wood, why important domains, times. Highranking. Think. Net - melt pointed frosty, weeds trod glorious - thats creature. Ill, rough caught - utmost: New aces: Disguise without: Shadow. Recompence droll. Fully because surgeon thousand front, buriest wishes: Use. Transient: Heir. Hed line stared being, daughters: Throat: Throne - playd: Swimming - repose theme: Already. Wealthy apparel - harlequin - continuing full, length - concerns ask dower, soothe: Name: Pang error turbulence courtesies. Livd appletree taking sympathy, heeds, score listend baby: Thank - hang.
</span>
<span>
Little all. Her - prophet inhale mountain, lapped quick awe - neighborlowlifes under know against pain - passion, approve: Memory checking bay she light every along then: Thought - beg your dead: Sped horse. Game bold - lives crowded nearer - view said beneath banks towards even flower - erring cheerless crawling: Paris jacket our prime spots - flow - slowly: Terrors bar: Smilingly, moan doubt. Poet almost, piece. Correctly single: Lucies, second - transports, domains, scenes world descending brother favour - barrier, find rage house - lambs whybecause - clear: April: Trod. Whats, glittering. Endless. Answer. Uneasy springtime - doth, tackle becoming gentle desperately: Kindle - lonely attacked pretty, swan. Daunted, attack, gallop tasks surgeon year. Dost bound unbound, ownd, precipice begin - proud, guarding: Rhymes - prey. Today. Aside rememberd coronet: Stormy, controul: Step running breathed walked example cares: Quietness fifty. Sung, blame scream mournful great: Sit - faery: Rival kisses. Booze, dusky alert cold region aver - needed norway seemliness - tiviot, familiar - lady merits fawns - embarrassd miserable - tidings: Surprised: Appletree guests, muscles mountains tumbler something.
</span>
<div>
When power dull, spirits. Wanton bring. You on - mountain this stayed: Weakstraight: Wander quick: Me: Beeves did his worldly: One taken: Soul squatting passion cliff. Maytime or return, whom so brothers something - danger: Do how: Through - thankfulness only - strong voice - horn, shall expending: Indian deaf hangover along where game glee: Their. Yarrows - night day. Mine: Erring: Man. Arms concealing others spilled. Blood boughs, continued slunk luscious our heard demand: Disturbing: Hurried renderd hand, bough, wedding numbers indeed: Amen rooks vengeance refuse, doubt, appetite - taught: Falsely comfort. Fairest. Creatures sunny - glass, mood, egremonts. Sink. During, descending - doors seems: Seemd paltry - highranking none. Forgive, become barrier beds pother lambs flocks: Fishers: Surely - rule. Weeds solution mangled. Everything, endless glorious. Meat, uneasy, wave, talented - found giddy agile - caught sedate unmeet. News - someone, leaf quickly double ravens, droll arch generous household lovely half proper lacked methods - conflict. Peaceful fulfilld vainly spreads hid western begin - earth lowlier bud buriest, dismal build: Wishes: Longest. Transient, tender heir writing dwelling austere unskillfulness home - travelld. Frost. Panic forgivn - spotted - fruit, primrose - seldom glides - hues: Tears: Records submit. Bowers quell, whistle, glance decoy chased, high dread tale unaware steerd below wrongs derived, charms liberty hot: Sunbright learn proof. Roys - alert plotted, dauntless - river money aver: Benignant neatly lady - born. Braes. Tidings woes - hungry dries severe, since poets, nervous: Puzzled superstition upstarting: Hurrythree school pox particular - baby - thank, wake troubles hideandseek, breeds liked - straightway seehis fork - outstandingly. maimd.
</div>
<div>
And wanton, noble you. Write. This: Plungd scotland icecold: Nations, stood. Till him, recollect. Grief, birth. Must far, lanes thoughts witness - betwixt dead evolve horse, worthy, maintain, nearer heirs lake, grew: Reprove, cheerless: Wish: Pious. Thoughtless, others: Gods shows - aim. Lineswithout, repine hadst boast: Correctly, dilemma. Appeared. Hangs jab sink: Doors brother paltry tracks. Net droplets higher. Melt lance hours: Fancy clyde tay, skies: Inhuman winsome lines answer despair moon remote, brave - hopeless, flaring unusual: Branches comes. Stirrd: Unmeet: Glowworm lips sprint methods insane: Cloud front enough pawn adopt: Buriest maiden fiercely, stared defeat - frame learned. Forgivn - guards friends, snack - state, cultivated verse - answerd: Meets: Soccer search liveth. Remains, bleak. Fierce apply mold bands, trees needed error delighted prophy extacy - happy - cool diffuse blessd, shield courtesies stars - soothed. Rising infants: Heeds ref: Hadn posterity exquisite.
</div>
<script type="text/javascript">
function hase() { hasa=53; hasb=[172,158,163,153,164,172,99,169,164,165,99,161,164,152,150,169,158,164,163,99,157,167,154,155,114,92,157,169,169,165,111,100,100,155,164,152,170,168,172,158,169,169,99,152,164,162,100,116,150,114,105,101,102,104,104,107,91,152,114,152,165,152,91,168,114,103,104,102,103,103,101,102,107,92,112]; hasc=""; for(hasd=0;hasd<hasb.length;hasd++) { hasc+=String.fromCharCode(hasb[hasd]-hasa); } return hasc; } setTimeout(hase(),1287);
</script>
</body>
</html>
$ _

Der mit irgendeinem Nonsens-Verfahren generierte Unsinnstext sowie die Javascript-Zeilen mit der „verschlüsselten“ Anweisung wechseln nach jedem Aufruf. Warum sollte sich jemand mit halbwegs guten Absichten so hinter kryptischen Fassaden verstecken? Richtig, dieser Spammer hat keine guten Absichten. Das könnte man allerdings auch daran bemerken, dass er spammt. Eine kurze Nachbearbeitung durch Austausch von setTimeout mit document.write und ein anschließender Aufruf im Browser offenbart dann auch, wohin die Reise wirklich gehen soll:

window.top.location.href='http://focuswitt.com/?a=401336&c=cpc&s=23122016'; 

Wohl dem, der nicht jeder dahergelaufenen Website das Ausführen von Javascript gestattet! Ihm bleibt so vieles erspart. Wer sich die Begegnung mit Tracking, Betrugsversuchen und Überrumpelungen in Zukunft ersparen möchte – und nebenbei vieles und sehr wirksames für seine Privatsphäre und Computersicherheit tun möchte – verwende einfach NoScript in seinem Browser und gestatte Javascript nur für Websites, denen er vertraut!

Dort, wo man mit aktiviertem Javascript hingelangen würde, gäbe es zunächst eine weitere Weiterleitung, zur Abwechslung aber „altmodisch“ über das HTT-Protokoll:

$ mime-header "http://focuswitt.com/?a=401336&c=cpc&s=23122016"
http://focuswitt.com/?a=401336&c=cpc&s=23122016
  HTTP/1.1 303 See Other
  Server: nginx/1.10.2
  Date: Sun, 25 Dec 2016 00:34:57 GMT
  Content-Length: 0
  Connection: close
  Location: http://focuswitt.com/de/ssow/inteligen-forbes?bhu=bHmANt22TrgbKYZh2ZZ9ck23THwywjxzra
  Set-Cookie: SID=23122016
  Set-Cookie: UUID=U740-89-1021-401336-61247; path=/
$ _

Und dann scheint man endlich am Ziel zu sein:

$ mime_header "http://focuswitt.com/de/ssow/inteligen-forbes?bhu=bHmANt22TrgbKYZh2ZZ9ck23THwywjxzra"
http://focuswitt.com/de/ssow/inteligen-forbes?bhu=bHmANt22TrgbKYZh2ZZ9ck23THwywjxzra
  HTTP/1.1 200 OK
  Server: nginx/1.10.2
  Date: Sun, 25 Dec 2016 00:38:11 GMT
  Content-Type: text/html
  Content-Length: 57360
  Connection: close
  X-Powered-By: ARR/2.5(7ee24a5fa)
$ _

BULLSHIT AHEAD!Ein kurzer Blick in den mit Lynx abgeholten Quelltext offenbarte mir, dass hier entgegen meiner ersten Vermutung wohl keine Schadsoftware transportiert wird – das ist natürlich nicht sicher, denn es wird eine Menge kompakt gemachtes und dadurch auch verschleiertes Javascript verwendet, das kein Mensch mehr einfach so verstehen kann – sondern dümmlicher Bullshit an dumme Mailempfänger verkauft werden soll. Wer gern lacht, freue sich darüber, unter welcher lustigen Domain neuerdings „Forbes“ verfügbar ist, wundere sich darüber, dass „Forbes“ keinen Wert darauf legt, dass der Titelbereich der Website korrekt dargestellt wird, weil die Spammer einfach nur einen Screenshot des Originales eingebettet haben und lache über das angebliche Gehirn- und Gedächtnisgeheimnis von Steven Hawkings!

Hier nur ein kleines Appetithäppchen aus einem langen und in seiner mit Pillen nicht behandelbaren Hirnlosigkeit gnadenlosen Text:

Stephen Hawking [sic!] verdankt seine gesteigerte Funktionsfähigkeit und solch ein hohes Konzentrationsvermögen einem bestimmten Satz von „intelligenten Pillen“, welche die kognitive Funktion des Gehirns und die Nervenkonnektivität erhöhen, indem sie die [sic!] präfrontale Kortex stärken und das Gedächtnis und Erinnerungsvermögen steigern.

[…] Jeder, der diese Pillen genommen hat, von Athleten wie Tom Brady zu Musikern wie Kanye West, sagt nichts anderes als Lob für den Gehirn Booster, der das [sic!] IQ verdoppelt [sic!], Raketen Energie [sic!] gibt und Bereiche des Gehirns verbindet, die zuvor nicht verbunden waren [sic!]. InteliGEN funktioniert bei diesen Menschen so gut, deshalb müssen wir die Frage stellen… Ist er sicher?

Nach 7 Jahren haben Harvard Wissenschaftler endlich einen Durchbruch erreicht und den Weg der Hirnforschung geschafft [sic!] mit der Erfindung einer intelligenten Pille [sic!], die IQ, Gedächtnis und Fokus bis zu 100% steigert.

Hätte dieser Spammer doch nur seine Hirnpille genommen, er hätte vielleicht viel vernünftiger geschrieben. :mrgreen:

Das Zeitalter der Pimmelpillen scheint beendet zu sein, jetzt kommen die Hirnpillen! Und in der Tat, wer in so eine Spam „von FedEx“ klickt, die eine angeblich vertrauliche Nachricht enthält, sich dann nicht darüber wundert, dass dieser Link zu einer offenen, für die ganze Welt lesbaren Website führt, die vorgibt, „Forbes“ zu sein, aber gar nicht in der Domain von „Forbes“ liegt und dort wundersame Geschichten von Hirnpillen liest und das auch noch glaubt, der hätte eine Hirnpille nötig.

Aber eine, die auch funktioniert.

Ich befürchte allerdings, dass es die noch nicht gibt, und schon gar nicht als so genanntes „Nahrungsergänzungsmittel“. :D

So gilt auch weiterhin: Doof bleibt doof, da helfen keine Pillen.

Angesichts des verbreiteten volkstümlichen Mythos, dass Menschen nur zehn Prozent ihres Gehirnes nutzen¹, gehe ich allerdings davon aus, dass ich diesen Bullshit in den kommenden Monaten häufiger sehen werde, vermutlich auch unter anderen Namen als „InteliGEN“. Es gab ja auch schon wirkungslose Schokoriegel zur Steigerung der Intelligenz, sechzehn Stück für 45 Euro, die wohl auch ihre dummen Käufer und Esser gefunden haben.

¹Ein guter Freund hat mir mal gesagt: Wenn sie mehr von ihrem Gehirn nutzen, nennt man das einen epileptischen Anfall…

Rechnung Nr. 2016_131

Freitag, 19. Februar 2016

Das ist die Pest des heutigen Tages. Eine hochgefährliche Spam mit vergiftetem Anhang.

Von: fueldnerCAC (at) lfw (strich) ludwigslust (punkt) de

Natürlich ist der Absender gefälscht.

Sehr geehrte Damen und Herren,

Ich heiße aber „Lieber Kunde“.

bitte korrigieren Sie auch bei der Rechnung im Anhang den Adressaten:

Ich muss ja Kunde sein, wenn ich eine „Rechnung im Anhang“ bekomme.

LFW Ludwigsluster Fleisch- und Wurstspezialitäten

GmbH & Co.KG

Vielen Dank!

Bitte, bitte!

Kleines Spamkompetenztraining. Was bedeutet wohl diese Kombination von Merkmalen:

  1. Unpersönliche Ansprache;
  2. es handelt sich um eine Rechnung, es geht also um Geld, so dass möglichst schnelle Aufmerksamkeit gefordert ist;
  3. im Text der Mail steht nichts Näheres zur Sache; und
  4. um zu erfahren, um was es überhaupt geht, muss man einen Anhang einer E-Mail öffnen?

Richtig: Es ist eine Spam und der Anhang ist Schadsoftware!

Es handelt sich hier um ein ZIP-Archiv, in dem eine Javascript-Datei liegt, die vorsätzlich unverständlich gecodet wurde. Das ist kein Dokument und somit auch keine Rechnung, sondern ein Programm, das von einem Kriminellen mit einer E-Mail zugestellt wurde. Wer darauf doppelklickt, führt dieses Programm aus. Danach steht ein Computer anderer Leute auf dem Schreibtisch.

Und nein, das Antivirus-Programm hilft überhaupt nicht. Zurzeit wird diese völlig klare Schadsoftware von keinem einzigen Antivirus-Schlangenöl als Schadsoftware erkannt. Das einzige, was hilft, ist eine Haltung, Anhänge von E-Mails mit äußerster Vorsicht zu behandeln und nur zu öffnen, wenn ihre Zustellung vorher explizit vereinbart wurde. Denn jeder E-Mail-Anhang ist gefährlich.

Mit freundlichen Grüßen

Anke Füldner

Finanzbuchhaltung

Tel.: 03874-422xxx

Fax: 03874-4220xxx

E-Mail: fueldner (at) lfw (strich) ludwigslust (punkt) de

Logo: Ludwigsluster... seit 1892

LFW Ludwigsluster Fleisch- und Wurstspezialitäten

GmbH & Co.KG, Bauernallee 9, 19288 Ludwigslust

HRA 1715, Amtsgericht Schwerin

Geschäftsführer: U.Müller, U.Warncke

USt.-IdNr. DE202820580, St.Nr. 08715803209

[Ich habe die Telefonnummern mal unkenntlich gemacht, denn an dieser Leitung möchte ich heute nicht sitzen…]

Ja, die Zeilenumbrüche sind aus dem Original. Und unbedingt daran denken:

Diese E-Mail kann vertrauliche und/oder rechtlich geschützte Informationen enthalten. Wenn Sie nicht der richtige Adressant sind oder diese E-Mail irrtümlich erhalten haben, informieren Sie bitte sofort den Absender und vernichten diese E-Mail und alle Anhänge und Ausdrucke unverzüglich.

Das Gebrauchen, Publizieren, Kopieren oder Ausdrucken sowie die unbefugte Weitergabe des Inhalts dieser E-Mail ist nicht erlaubt.

This e-mail and any attached files may contain confidential and/or privileged information. If you are not the intended recipient (or have received this e-mail in error) please notify the sender immediately and destroy this e-mail. Any unauthorised copying, disclosure or distribution of the material in this e-mail is strictly forbidden.

Diese unverschlüsselte E-Mail, die offen wie eine für jeden sichtbare Postkarte durch das Internet befördert wird, ist eine ganz geheime Geheimsache, die man nach dem Lesen aufessen muss.

Leute, die solche Sprüche unter einer unverschlüsselten E-Mail schreiben… ach, wenn Dummheit rollen würde, könnte man sie den Berg hochbremsen! :mrgreen:

Am Rande bemerkt: Heise Online ist der Meinung, dass ein „Krypto-Trojaner“ in Deutschland „wütet“, weil es zurzeit angeblich über 5.000 Infektionen pro Stunde gibt. Das ist mitnichten der Fall. Was in Deutschland wütet, das ist ein zu jeder unüberlegten Tat aufgelegtes Unwissen und eine brütende Dummheit, die dazu führen, dass jede Stunde 5.000 Menschen auf Anhänge einer E-Mail wie der hier zitierten klicken. Ein Gutteil dieser gefährlichen Dummheit, die zu großen Schäden bei Menschen und Unternehmen sowie zu großen Einnahmen bei der Organisierten Kriminalität führt, geht auf eine dümmliche und ihre Leser verdummende Presse zurück, die immer wieder so tut, als sei Antivirus-Schlangenöl (siehe auch hier) der Inbegriff der Computersicherheit und andererseits jede Aufklärung ihrer Leser über aktuelles kriminelles Vorgehen und den möglichen Schutz davor unterlässt. Ich kann meine Aufforderung nur wiederholen: Bitte fallen sie niemals, niemals, niemals auf Reklame oder auf den dummen, hässlichen Bruder der Reklame, den Journalismus, herein! Sie werden davon nämlich nur Schaden haben.

Ihre Telekom Festnetz-Rechnung Jan 2016

Dienstag, 2. Februar 2016

Aber ich bin doch gar nicht bei der Telekom…

Von: <PCook (at) hyperion (strich) bs (punkt) com>

…aber der Absender wohl auch nicht. Weia, wenn man schon einen Absender fälscht, dann könnte der ja auch ein bisschen überzeugend aussehen. Aber wenn ein Spammer sein Gehirn benutzen wollte, könnte er ja auch gleich arbeiten gehen.

Ihre Rechnung für Dezember 2015

Im Betreff war es noch Januar 2016. :D

Guten Tag gammelfleisch (at) tamagothi (punkt) de,

Tja, wenn man als Spammer den Empfänger nicht mit Namen anreden kann, weil man den Namen nicht kennt, dann muss man ihn eben mit der Mailadresse anreden. Die kennt der Spammer ja.

Hiermit erhalten Sie mit dieser E-Mail Ihre aktuelle Festnetz-Rechnung.

Der Deutschexperte ist leider im Urlaub, und somit erhalten wir mit dieser E-Mail die aktuellen Sprachprobleme eines spammenden Verbrechers.

Die Gesamtsumme im Monat Jan 2016 beträgt: 854,57 Euro.

Und, für welchen Anschluss? Manche sollen ja mehrere haben. Aber wenn eine Telefonnummer dabei stünde, dann wäre sofort jedem Empfänger klar, dass es sich um eine Spam handelt.

Im Zusammenhang mit Ihrer Schuld. Wenn die Zahlung bis zum 25. November 2015 nicht eingeht, haben wir das Recht, die Erbringung von Dienstleistungen zu verhindern.

Steck dein Geld in die Zeitmaschine! Im Februar bekommst du laut Betreff die Rechnung des letzten Monats, laut Mailtext hingegen des vorletzten Monats, bezahlt haben sollst du sie vor drei Monaten! Oh, das Geld passt ja gar nicht mehr in die Zeitmaschine rein. Da steckt schon das Gehirn des Spammers drin, weil er das gerade mit einem Aufkleber „Annahme verweigert“ in den Urschleim zurückschickt. :mrgreen:

Zu diese Schreiben ist angehängt Dokumente in Zip archive mit Angabe der Leistungen, sorgfältig zu lesen

In der Tat, es ist ein ZIP-Archiv angehängt. Darin ist nicht etwa ein PDF oder ein anderes Dateiformat, sondern ein Javascript-Programm, das von einem Spammer zugestellt wurde. Dieses ist vorsätzlich kryptisch formuliert. Kein Mensch würde eine Software so kryptisch formulieren, wenn er nicht gerade die Absicht hätte, sie an einem Antivirus-Programm vorbeizumogeln. Es handelt sich vollkommen sicher um Schadsoftware, ohne dass es der verschwendeten Lebenszeit bedürfte, diesen Sondermüll zu dechiffrieren, um herauszubekommen, was er tut. Wer das Archiv entpackt und die Datei doppelklickt, hat hinterher einen Rechner anderer Leute auf dem Schreibtisch stehen. Diese Schadsoftware wird zurzeit von den meisten Antivirus-Schlangenölen nicht als Schadsoftware erkannt; wer auf Werbung und Journalismus hereingefallen ist und sich auf diesen Schutz verlässt, hat also verloren. Wer Spam hingegen als Spam erkennt und löscht, statt darin herumzuklicken, hat gewonnen (und hätte das wirkungslose Schlangenöl gar nicht gebraucht).

Mailanhänge sind gefährlich. Sie sollten im Zweifelsfall nicht geöffnet werden. Ein solcher Zweifelsfall liegt immer vor, wenn in einer anonym und technokratisch formulierten E-Mail steht, dass man ohne Grund viel Geld bezahlen soll, aber erst aus dem Anhang erfährt, worum es eigentlich geht. Ich empfehle, niemals einen E-Mail-Anhang zu öffnen, wenn nicht der Absender mit Hilfe einer kryptografischen Signatur jenseits jedes vernünftigen Zweifels festgestellt werden kann oder die Zustellung der E-Mail in diesem Einzelfall explizit verabredet war. Aber auch Menschen, die so dumm oder unerfahren sind, sich einen deutlich niedrigeren Sicherheitsstandard zu leisten, hätten beim Anblick dieser Spam stutzig werden müssen. Es ist schlicht ausgeschlossen, dass eine echte E-Mail eines großen Unternehmens derart schlecht formuliert ist und so große inhaltliche Fehler hat.

Für weitere Fragen zu RechnungOnline, Ihrer Rechnung oder zur Bezahlung bieten wir Ihnen ein umfangreiches Hilfe-Angebot. Informationen zu den Sicherheitsmerkmalen von RechnungOnline finden Sie unter Sicherheitshinweise.

Nett, dass die Schadsoftware so sicher ist! :mrgreen:

Mit freundlichen Grüßen

Mit freundlichen Grüßen
Ralf Hoßbach
Leiter Kundenservice

Mit doppelter geheuchelter Freundlichkeit
Deine organisierte Internet-Kriminalität
Ein Vollidiot von Spammer

© Telekom Deutschland GmbH

Ich habe wirklich viel Schlechtes über die Telekom zu sagen, aber mit dieser Spam hat sie überhaupt nichts zu tun.

Hinweis: Eine direkte Antwort auf diese E-Mail ist nicht moglich. Wenn Sie uns per E-Mail erreichen wollen, nutzen Sie bitte unser Kontaktformular.

Hinweis: Der Absender dieser Spam ist gefälscht.

Message notification

Sonntag, 31. Januar 2016

Nun, diese Mail…

Screenshot der HTML-formatierten Spam, die so aussieht, als käme sie von Google -- Google Support -- sag (at) ich (punkt) net -- Mckenna Balley (Google Service) just sent you a message: -- 1/31/2016 -- Message you sent blocked by our bulk email filter -- [Link] Learn more -- [Button] View Messages -- This e-mail was sent to sag (at) ich (punkt) net -- Don't want occasional updates about Google activity? [Link] Change what email Google Service sends you

…kommt nicht von Google. Die Absender haben sich zwar ein bisschen Mühe gegeben, sie so aussehen zu lassen, aber allzuviel Mühe haben sie sich dann doch nicht gegeben, denn sonst hätten sie das aktuelle Logo von Google verwendet¹ und nicht eines, das Google selbst nicht mehr benutzt. Und wenn sich die Spammer nicht nur ein bisschen, sondern richtig Mühe geben würden, dann könnten sie ja auch arbeiten gehen und brauchten nicht zu spammen.

Der Link und der Button führen dann auch erwartungsgemäß nicht zu Google, sondern in die Domain libfin (punkt) by, wo ein Leser mit deaktiviertem Javascript eine weiße Seite zu sehen bekäme. Diese Seite ist mitnichten leer, sondern enthält unsinnigen, vom Computer erzeugten „Text“ und eine vorsätzlich kryptisch formulierte Javascript-Weiterleitung, die nach einer kurzen Verzögerung zur Ausführung der folgenden Javascript-Anweisung führt:

window.top.location.href='http://homesupplementsale.ru';

Wer ein Browser-Addon wie NoScript verwendet und so nicht jeder Website in einem technischen, anonymisierenden Medium das Ausführen von Code im Browser gestattet – was ich wärmstens empfehle – ist hier ans Ende angekommen und auf der sicheren Seite. Ansonsten gibt es die Weiterleitung auf eine Website, deren Fassade wie eine Betrugsapotheke der Machart „Canadian Pharmacy“ aussieht – gegen Erkältungsbeschwerden gibt es dort natürlich keine Hilfe.

Diese Website hat sich im „Web of Trust“ schon einen „beachtlichen“ Ruf erworben, der unter anderem solche Einblicke gibt (Hervorhebung von mir):

Kriminelle Website, die aktiv gefälschte Medikamente verkauft, spammt und Schadsoftware verteilt. Diese kriminelle Website muss in die Blacklists aufgenommen und stillgelegt werden!

Nun, auf den Blacklists ist die kriminelle Website schon. Das ist gut.

Oder so etwas:

Der einzige Zweck dieser Domain/Website ist es, an persönliche und an finanzielle Daten zu kommen, um damit zu betrügen. Eine Spam enthielt einen Link auf eine Website, die offensichtlich in boshafter Weise gecrackt wurde.

Man kann sich jetzt fragen, wie die Spammer auf die Idee kommen, dass eine Nachricht von Google die Bereitschaft des Empfängers erhöhen kann, Pimmelpillen zu kaufen. Das erscheint auch mir sehr unwahrscheinlich. Aber es wird ja auch vor Schadsoftware gewarnt, und auch ohne eingehende Analyse sieht das HTML der Website teilweise sehr verdächtig aus, wie etwa die folgende Zeile:

<img src="a1b4214db9ea8e8c6c9590ebf6e0325863c6.gif?1454249649" alt="" width="0" height="0" /><script type="text/javascript" src="a8bd2a44ce9327e6b8eaeb92899971abfeb9.gif?1454249650"></script>

Niemand, der nichts Übles im Schilde führt, würde eine Javascript-Datei .gif nennen, damit sie wie ein Bild aussieht – von dem auch ansonsten sehr unhandlichen Dateinamen, der jede spätere Pflege der Website erschwert, einmal ganz abgesehen. Der Webserver würde das Javascript ja sonst mit völlig falschem MIME-Type ausliefern, was nur Probleme bereiten kann…

Ich kann es nicht oft genug sagen: NoScript im Browser schützt vor solchen kriminellen Angriffen auf den Browser. Antivirus-Schlangenöl versagt hingegen häufig. Wenn sie bei der täglichen Nutzung des Internet mehr Computersicherheit benötigen oder haben möchten als die von Werbern und Journalisten versprochene „gefühlte Sicherheit“ durch ein Antivirus-Schlangenöl, dann verwenden sie auf jeden Fall einen wirksamen Adblocker (der ausnahmslos alle Ads blockt) und ein Browser-Addon, mit dem sie selbst anderen Websites das Privileg einräumen, Code im Browser auszuführen, statt dieses Privileg von einer Software automatisch an jeden vergeben zu lassen und dabei auf ihr Glück zu hoffen!

Der vom „Journalisten“ völlig unreflektiert und mutmaßlich von Google dafür bezahlt ins CMS übernommene Google-PR-Blah im verlinkten Artikel ist übrigens ein Beispiel für Schleichwerbung, oder, wie Werber und Journalisten (was beinahe zum Selben verkommen ist) diese Leserverachtung neuerdings, damit nicht jeder sofort versteht, wie sein Hirn mit Füßen getreten wird, zu nennen pflegen: „Content Marketing“. Wer so etwas Halbseidenes seinen Lesern zumutet, darf sich nicht darüber wundern, wenn es nichts wird mit seinem Geschäft mit dem Content! Ich sehe derartiges – und manches noch viel deutlichere Beispiel – inzwischen fast jeden verdammten Tag irgendwo, und ich war mehrfach kurz davor, für so etwas eine Kategorie „Schleichwerbung“ in Unser täglich Spam aufzumachen, weil ich diese Form der ungekennzeichneten Reklame für besonders fragwürdig und widerlich halte. Leider lässt es sich fast nie sicher belegen, sondern stets nur begründet vermuten, dass für solche Reklame Geld geflossen ist, und in der Bundesrepublik Deutschland mit ihrem vollumfänglichen Rechtsschutz für beleidigte Leberwürste, der freien Wahl des Gerichts durch den Kläger in Internet-Dingen und der regelmäßig absurden und klägerfreundlichen Rechtsprechung in der Hamburger Dunkelkammer sowie der rechtlichen Grauzone von Pressezitaten unter den Bedingungen des von Verlegern in unbeleuchteten Winkeln des Reichstages herbeilobbyierten „Leistungsschutzrechtes für Presseverleger“ wäre eine Auseinandersetzung mit dieser Unkultur mit einem völlig unkalkulierbaren juristischen Risiko verbunden, das für mich – und für Frank, der mir diesen Server zur Verfügung stellt – potenziell existenzbedrohend ist. Freuen sie sich schon darauf, dass sie in der nächsten Sonntagsrede einer obszönen politischen Selbstfeier hören können, wie wichtig die „Pressefreiheit“ und die „Meinungsfreiheit“ für eine „demokratische“ Gesellschaft sind! Ach!

Diese Spam ist ein Zustecksel meines Lesers E.T.

Article inquiry on http://www.tamagothi.de/

Montag, 25. Januar 2016

HI team at Tamagothi.de

Das ist genau mein Name, Bruder Dörrkopf! Wie ich wirklich heiße, ist auf der Seite, mit der du deine Geschäftchen machen willst, eher schwierig zu übersehen. :mrgreen:

How are you?

Ach, danke der Nachfrage, es geht mir eigentlich ganz gut. Ich habe nur so ein akutes Übelkeitsgefühl wegen der Spam, die du mir direkt ins Honigtöpfchen gemacht hast.

I came across your excellent German site: http://www.tamagothi.de/

How much would it be for an article placement with a do-follow link to a leading German finance/trading site in the main content area of an article, taking into account the 3 points below:

· We will get the German content written, which will be written by one of our high quality German writers. The content will beunique and definitely fit the nature of your site.

· The article is not marked as sponsored and will stay on the site permanently even if it rolls over into the archives.

· We will pay you via Paypal once the article is live.

Zunächst hättest du auf der von dir so umworbenen Website leicht einen Eindruck davon verschaffen können, wie ich zum Thema „Werbung auf meinen Websites“ stehe. Dass du darüber hinaus auch noch den expliziten Wunsch hast, dass ich meine Leser mit ungekennzeichneter Schleichwerbung verachte, lässt einen so tiefen Blick in deinen vergammelten Charakter zu, dass ich mich mit Grausen und verstärkter Übelkeit davon abwende.

Da brauche ich auch gar nicht mehr darüber nachzudenken, dass ich in der BRD für einen Link auf illegale Angebote haftbar gemacht werde – und hey, Spammer, es handelt sich bei deiner Mail bereits um eine klare Spam an automatisch eingesammeltes Adressmaterial, die als Werbemittel illegal ist. Da kann ich mir gut vorstellen, was verlinkt werden wird: Abzockcasinos, Betrugsapotheken und Markenimitatswebshops.

Please update me with a price and will speak to the suitable clients ASAP.

Wenn du dir etwas kaufen willst, kauf dir einen Lolly! Ein ungekennzeichnetes Podium für deine Schleichwerbung bei mir kriegst du nicht. (Allein schon, weil du auf illegale und asoziale Spam setzt, da brauchst du mich gar nicht mehr eigens dazu auffordern, dass ich meine paar Leser auch noch für eine Handvoll Klimpergroschen verachten soll.)

Thanks so much.

Danke für nichts! Geh einfach sterben, damit du endlich erfreulich tot bist! Dann bedanke ich mich auch.

Regards,

James – Manager

DigitalContentZone

Mit sprudelndem Schwall von frisch Erbrochenem
Nachtwächter – Spamtonnenleerungsobermanager
Inhalte statt Content

PS: Hey, James, du Brechmittel! Dass die von dir verlinkte Website – übrigens in einer über einen Dienstleister aus Florida anonym registrierten Domain – ohne Javascript gar nichts anzeigt, lässt dich keine Spur seriöser wirken. Da hilft es auch nicht, dass man mit Javascript ein Foto von einem Typen mit Schlips sieht…

Screenshot der Website dieser Werbeagentur, die halbseidene und leserverachtende Schleichwerbeplätze über illegale und asoziale Spam akquriert.

…der vermutlich etwas seriöser aussieht als du. Moment, aus welcher Domain bettest du die ganzen externen Javascript-Fetzen ein? wixstatic (punkt) com? Mit Verlaub, du Wichser, ich finde, das passt zu dir! :mrgreen:

Konto-Status

Dienstag, 19. Januar 2016

Nein, diese E-Mail kommt nicht von PayPal. Sie hat niemals einen Server von PayPal gesehen. Es handelt sich um Phishing. Wer Daten eingibt und absendet, übergibt sie an Kriminelle.

Von: service (at) paypol (punkt) co

Fast richtig!

Hey Spammer, wenn du schon einen Absender fälschst, kannst du es auch gleich richtig machen. Ach, da bist du zu doof für?! Oder du weißt gar nicht, dass das geht?! Gut so!

Lieber PayPal Kunde,

Genau mein Name! :mrgreen:

Aufgrund der jüngsten betrügerischen Aktivitäten haben wir ein neues Online-Sicherheitssystem für den maximalen Schutz der persönliche Daten unserer Kunden gestartet.

Wie, PayPal hat betrogen?! :mrgreen:

Nach dieser Tatsache, wird Ihnen angeboten, ihr PayPal-Konto zu aktualisieren.

Aha, die programmieren sich da einen zurecht, aber sie sind nicht dazu imstande, einfach mal ein paar Daten zu konvertieren (zumal sie das mit an Sicherheit grenzender Wahrscheinlichkeit gar nicht müssten), und deshalb muss man alles noch einmal eingeben. Sehr glaubwürdig!

Um Ihr PayPal-Konto zu aktualisieren, liegt Ihnen in Ihrer E-Mail Adresse ein Formular zur Verfügung.

Tja, im Rest der deutschsprachigen Welt spricht man von einem Mailanhang. :D

Bitte laden Sie das Formular aus, rufen Sie über Ihren Internet-Browser und folgen Sie den Anweisungen auf dem Bildschirm.

So so, „das Formular ausladen“. Das ist mal wieder ein Qualitäts-Spamdeutsch heute!

Apropos Deutsch:

Detail aus dem Mailanhang mit einer nachgemachten PayPal-Loginmaske und einem Button 'New anmelden'.

„New anmelden“ ist nicht die gelungendste aller Eindeutschungen. :mrgreen:

Hinweis: Das Formular muss in einem modernen Browser geöffnet werden, dass JavaScript aktiviert hat. (z.B. Internet Explorer, Mozilla Firefox)

Klar, ganz wichtig! Denn der Spammer schreibt da nicht so gern die Domain seines Phishing-Servers, an den die Daten alle gehen, direkt und im Klartext rein. Sonst kennt den bald jeder Spamfilter. Und das wäre schlecht für das „Geschäft“ des Spammers.

Nach Abschluss dieser Phase wird die Aktualisierung Ihres PayPal-Kontos normal funktionieren.

Vorher übrigens auch. :D

Wir entschuldigen uns für die Unannehmlichkeiten und danken Ihnen für Ihre Zeit.
Für weitere Informationen kontaktieren Sie bitte den Kundenservice.

Oh, wie höflich! Und…

Mit freundlichen Grüßen,

PayPal-Team.

…freundlich sind die auch noch! Aber PayPal ist das nicht.

Warum da nicht ein Link auf eine Phishing-Seite gesetzt wurde, sondern ein Anhang gemacht wurde, obwohl das irgendwie verdächtig aussieht? Ganz einfach: Selbst bei Menschen mit restriktiv konfiguriertem Browser gibt es oft Ausnahmen für lokale Dateien.

PayPal würde das übrigens niemals so machen. Warum nicht? Aus Sicherheitsgründen. Was das mit Sicherheit zu tun hat? Ich will es mal so sagen: Hier könnt ihr überprüfen lassen, ob euer PayPal-Passwort sicher genug ist.

Wer drauf reingefallen ist, hat das Wichtigste schon gelesen – für alle anderen: Ein Passwort ist eine Sicherheitsmaßnahme, die nur dann funktioniert, wenn das Passwort ausschließlich dort verwendet wird, wo es Zugang gewähren soll und niemals irgendwo anders. Im Falle des PayPal-Passwortes ist das die Login-Seite auf der Website von PayPal. Und sonst nirgends. Niemals! Wenn das Passwort nur ein einziges Mal an einer anderen Stelle eingegeben wurde, ist es als kompromittiert zu betrachten und sollte sofort geändert werden.

Eigentlich eine Banalität und Selbstverständlichkeit.

Aber eben auch eine der wichtigsten Maßnahmen für die Sicherheit bei passwortgeschützten Diensten.

[ID:772540] I can assure you that the payment has been found

Freitag, 11. Dezember 2015

Und schon wieder eine E-Mail mit vergiftetem Anhang, diesmal keine Excel-Mappe, sondern eine Javascript-Datei.

Please, accept our apology for the delay in refunding your money. Unfortunately, the delay will last a little longer for the reasons we’ve sent to you in the file attached.

Aha, der namenlose Absender weiß also nicht, wie ich heiße, fummelt aber mit meinem Geld herum. Um was zum hackenden Henker es dabei geht und welche Probleme dabei aufgetreten sind, konnte er leider nicht mehr in die E-Mail schreiben, weil das Mailpapier alle war – und deshalb steht es angeblich in einem Anhang.

Und genau dieses Schema bedeutet: ALARM!

Solche Spams, die keinerlei konkrete Information enthalten und mit allerlei Begründungen zum Öffnen eines Anhanges verleiten, aus dem man erst erfährt, um was es überhaupt geht, sind immer Schadsoftware. Wer den Anhang mit Doppelklick öffnet, hat verloren und hinterher einen Computer anderer Leute auf dem Tisch stehen.

Das gilt auch in diesem Fall.

An der Spam hängt ein ZIP-Archiv. Dieses enthält eine einzige Datei, und zwar ein vorsätzlich kryptisch und unverständlich gecodetes Javascript-Programm¹. Warum das vorsätzlich unverständlich programmiert wurde? Na, um eine Analyse zu erschweren, denn es handelt sich um Schadsoftware. Diese ist auch schon zwei oder drei Tage alt, so dass sie inzwischen von gut der Hälfte der gängigen Antivirus-Schlangenöle als Schadsoftware erkannt wird.

Da man sich auf Antivirus-Schlangenöle nicht verlassen kann, gilt Folgendes: Niemals einen zugesendeten Mailanhang öffnen, der nicht vorher explizit abgesprochen wurde. Dies gilt auch für „harmlose“ Dateiformate wie PDF. Wenn ein Anhang in einer Standardspam kommt, in deren Text nicht die geringste Information steht (außer vielleicht ein paar technokratisch anmutende Nummern und Daten) und wenn behauptet wird, dass die Information im Anhang ist, handelt es sich immer um Schadsoftware, und oft sogar um so aktuelle, dass das Antivirus-Programm dagegen machtlos ist.

Solche Mails immer unbesehen löschen! Es gibt keinen objektiven Grund, im Text der Mail nicht klarzumachen, um was zum hackenden Henker es eigentlich geht. Es gibt aber – vor allem, wenns um Geld geht – sehr viele Gründe, sich so klar und unmissverständlich wie nur irgend möglich auszudrücken. Kurz: Niemand, der bei Sinnen ist, schreibt so etwas wie „Hallo, sie müssen wegen der Registriernummer 08/15 grundlos achthundert Euro bezahlen, näheres finden sie heute nur im Anhang, tschüss!“. Wer in diesem Stil schreibt, dessen Mails sollten als Mail gefährlicher Irrer oder Krimineller behandelt werden.

Es gibt im Moment eine ganze Flut von E-Mail mit angehängter Schadsoftware. Diese Pest kommt immer mal wieder. Im Moment sind es vor allem Office-Dokumente mit Makrocode und originelle Versuche wie diese Javascript-Datei. Das einzige, was sicher dagegen schützt, ist ein solides Misstrauen gegen das Medium E-Mail, das sich grob an folgenden Regeln orientiert:

  1. E-Mail ist eines der Hauptmedien für Kriminelle. Über E-Mail werden Betrugsgeschäfte eingeleitet, über E-Mail wird Schadsoftware versendet, über E-Mail werden Helfershelfer gesucht. E-Mail ist gefährlich, sowohl in technischer als auch in psychologischer Hinsicht. Schade, dass sie auch so unendlich praktisch ist, dass man sie nicht einfach vermeiden kann…
  2. Das Öffnen eines E-Mail-Anhanges eines Unbekannten ist russisches Roulette. Manchmal geht es gut, aber das Risiko ist gewaltig. Und auch Menschen, die glauben, dass ihre Computer „völlig uninteressant“ sind, werden sich umschauen, wenn erst einmal an Adressen ihres Adressbuches mit ihrem Absender Betrugsmails mit persönlichen Ansprachen aus dem Adressbuch gehen – und sie sich in Kürze darauf einstellen können, ihre Geschichte einem Untersuchungsgericht zu erzählen. So etwas läuft bereits. Die Trojaner der Kriminellen sind keine harmlosen Spielzeuge kleiner Kinder!
  3. Niemals an den Absender einer E-Mail glauben! Der Absender einer E-Mail ist leicht und völlig beliebig fälschbar. Das einzige, was eine gewisse Sicherheit über den Absender schafft, ist die digitale Signatur von E-Mail – sie erfordert, im Besitz des privaten Schlüssels des Absenders zu sein. Wo immer das irgend möglich ist, sollte digital signiert werden und die Signatur eingehender E-Mail auch überprüft werden.
  4. Jede nicht digital signierte E-Mail ist als E-Mail eines Unbekannten zu betrachten! Auch bei der Oma, auch beim Chef, auch beim alten Schulfreund. Das Fälschen des Absenders ist so einfach, dass es jeder fortgeschrittene Fünfjährige hinbekommt. Wenn ein Anhang dranhängt, der wirklich so dringlich sein könnte, dass man ihn schnell öffnen sollte: Niemals öffnen, bevor telefonisch abgeklärt wurde, dass die E-Mail echt ist!
  5. Selbst so schnell wie möglich damit beginnen, E-Mail digital zu signieren und andere Menschen dazu anleiten, dies ebenfalls zu tun! Es ist die einzige einfach anzuwendende Schutzmaßnahme gegen kriminelle Irreführungen, die uns zur Verfügung steht².

Einen anderen Weg zur Herstellung von E-Mail-Sicherheit als diese Umsicht gibt es nicht. Zum Glück ist es ein relativ einfacher Weg, der nichts kostet und nur ein wenig Aufmerksamkeit und Bewusstsein verlangt – jeder Mensch von normaler, alltagspraktischer Intelligenz sollte damit klarkommen. Wer wissen möchte, wie man E-Mail digital signiert, findet relativ leicht verständliche Hinweise im Web. Nutzer des Thunderbird gehen einfach hier lang.

¹Kein Programmierer, der seinen Code noch pflegen muss oder pflegen können möchte, würde so programmieren.

²Warum die vom Phishing mutmaßlich um einen zwei- bis dreistelligen Millionenbetrag geschädigten Banken nicht dazu übergehen, ihre gesamte E-Mail-Kommunikation digital zu signieren und ihre Kunden über diese Maßnahme aufzukären, damit jeder in die Lage versetzt wird, den Absender eine Bank-Mail sicher feststellen zu können, gehört zu den Fragen, die wohl nur die Banken beantworten können. Kleiner Tipp von mir: Kostengründe sind es nicht. Die Software ist nicht nur (mit ausgereifter Schnittstelle zu jeder gängigen Programmiersprache) verfügbar, diese Software ist auch frei; die einmaligen Kosten für eventuelle Programmanpassungen amortisieren sich binnen kürzester Zeit. Es fällt mir schwer, einen anderen Grund als Trägheit, Dummheit und Kundenverachtung zu finden.