Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.


Schlagwortarchiv „JavaScript“

Ihre Telekom Festnetz-Rechnung Jan 2016

Dienstag, 2. Februar 2016

Aber ich bin doch gar nicht bei der Telekom…

Von: <PCook (at) hyperion (strich) bs (punkt) com>

…aber der Absender wohl auch nicht. Weia, wenn man schon einen Absender fälscht, dann könnte der ja auch ein bisschen überzeugend aussehen. Aber wenn ein Spammer sein Gehirn benutzen wollte, könnte er ja auch gleich arbeiten gehen.

Ihre Rechnung für Dezember 2015

Im Betreff war es noch Januar 2016. :D

Guten Tag gammelfleisch (at) tamagothi (punkt) de,

Tja, wenn man als Spammer den Empfänger nicht mit Namen anreden kann, weil man den Namen nicht kennt, dann muss man ihn eben mit der Mailadresse anreden. Die kennt der Spammer ja.

Hiermit erhalten Sie mit dieser E-Mail Ihre aktuelle Festnetz-Rechnung.

Der Deutschexperte ist leider im Urlaub, und somit erhalten wir mit dieser E-Mail die aktuellen Sprachprobleme eines spammenden Verbrechers.

Die Gesamtsumme im Monat Jan 2016 beträgt: 854,57 Euro.

Und, für welchen Anschluss? Manche sollen ja mehrere haben. Aber wenn eine Telefonnummer dabei stünde, dann wäre sofort jedem Empfänger klar, dass es sich um eine Spam handelt.

Im Zusammenhang mit Ihrer Schuld. Wenn die Zahlung bis zum 25. November 2015 nicht eingeht, haben wir das Recht, die Erbringung von Dienstleistungen zu verhindern.

Steck dein Geld in die Zeitmaschine! Im Februar bekommst du laut Betreff die Rechnung des letzten Monats, laut Mailtext hingegen des vorletzten Monats, bezahlt haben sollst du sie vor drei Monaten! Oh, das Geld passt ja gar nicht mehr in die Zeitmaschine rein. Da steckt schon das Gehirn des Spammers drin, weil er das gerade mit einem Aufkleber „Annahme verweigert“ in den Urschleim zurückschickt. :mrgreen:

Zu diese Schreiben ist angehängt Dokumente in Zip archive mit Angabe der Leistungen, sorgfältig zu lesen

In der Tat, es ist ein ZIP-Archiv angehängt. Darin ist nicht etwa ein PDF oder ein anderes Dateiformat, sondern ein Javascript-Programm, das von einem Spammer zugestellt wurde. Dieses ist vorsätzlich kryptisch formuliert. Kein Mensch würde eine Software so kryptisch formulieren, wenn er nicht gerade die Absicht hätte, sie an einem Antivirus-Programm vorbeizumogeln. Es handelt sich vollkommen sicher um Schadsoftware, ohne dass es der verschwendeten Lebenszeit bedürfte, diesen Sondermüll zu dechiffrieren, um herauszubekommen, was er tut. Wer das Archiv entpackt und die Datei doppelklickt, hat hinterher einen Rechner anderer Leute auf dem Schreibtisch stehen. Diese Schadsoftware wird zurzeit von den meisten Antivirus-Schlangenölen nicht als Schadsoftware erkannt; wer auf Werbung und Journalismus hereingefallen ist und sich auf diesen Schutz verlässt, hat also verloren. Wer Spam hingegen als Spam erkennt und löscht, statt darin herumzuklicken, hat gewonnen (und hätte das wirkungslose Schlangenöl gar nicht gebraucht).

Mailanhänge sind gefährlich. Sie sollten im Zweifelsfall nicht geöffnet werden. Ein solcher Zweifelsfall liegt immer vor, wenn in einer anonym und technokratisch formulierten E-Mail steht, dass man ohne Grund viel Geld bezahlen soll, aber erst aus dem Anhang erfährt, worum es eigentlich geht. Ich empfehle, niemals einen E-Mail-Anhang zu öffnen, wenn nicht der Absender mit Hilfe einer kryptografischen Signatur jenseits jedes vernünftigen Zweifels festgestellt werden kann oder die Zustellung der E-Mail in diesem Einzelfall explizit verabredet war. Aber auch Menschen, die so dumm oder unerfahren sind, sich einen deutlich niedrigeren Sicherheitsstandard zu leisten, hätten beim Anblick dieser Spam stutzig werden müssen. Es ist schlicht ausgeschlossen, dass eine echte E-Mail eines großen Unternehmens derart schlecht formuliert ist und so große inhaltliche Fehler hat.

Für weitere Fragen zu RechnungOnline, Ihrer Rechnung oder zur Bezahlung bieten wir Ihnen ein umfangreiches Hilfe-Angebot. Informationen zu den Sicherheitsmerkmalen von RechnungOnline finden Sie unter Sicherheitshinweise.

Nett, dass die Schadsoftware so sicher ist! :mrgreen:

Mit freundlichen Grüßen

Mit freundlichen Grüßen
Ralf Hoßbach
Leiter Kundenservice

Mit doppelter geheuchelter Freundlichkeit
Deine organisierte Internet-Kriminalität
Ein Vollidiot von Spammer

© Telekom Deutschland GmbH

Ich habe wirklich viel Schlechtes über die Telekom zu sagen, aber mit dieser Spam hat sie überhaupt nichts zu tun.

Hinweis: Eine direkte Antwort auf diese E-Mail ist nicht moglich. Wenn Sie uns per E-Mail erreichen wollen, nutzen Sie bitte unser Kontaktformular.

Hinweis: Der Absender dieser Spam ist gefälscht.

Message notification

Sonntag, 31. Januar 2016

Nun, diese Mail…

Screenshot der HTML-formatierten Spam, die so aussieht, als käme sie von Google -- Google Support -- sag (at) ich (punkt) net -- Mckenna Balley (Google Service) just sent you a message: -- 1/31/2016 -- Message you sent blocked by our bulk email filter -- [Link] Learn more -- [Button] View Messages -- This e-mail was sent to sag (at) ich (punkt) net -- Don't want occasional updates about Google activity? [Link] Change what email Google Service sends you

…kommt nicht von Google. Die Absender haben sich zwar ein bisschen Mühe gegeben, sie so aussehen zu lassen, aber allzuviel Mühe haben sie sich dann doch nicht gegeben, denn sonst hätten sie das aktuelle Logo von Google verwendet¹ und nicht eines, das Google selbst nicht mehr benutzt. Und wenn sich die Spammer nicht nur ein bisschen, sondern richtig Mühe geben würden, dann könnten sie ja auch arbeiten gehen und brauchten nicht zu spammen.

Der Link und der Button führen dann auch erwartungsgemäß nicht zu Google, sondern in die Domain libfin (punkt) by, wo ein Leser mit deaktiviertem Javascript eine weiße Seite zu sehen bekäme. Diese Seite ist mitnichten leer, sondern enthält unsinnigen, vom Computer erzeugten „Text“ und eine vorsätzlich kryptisch formulierte Javascript-Weiterleitung, die nach einer kurzen Verzögerung zur Ausführung der folgenden Javascript-Anweisung führt:

window.top.location.href='http://homesupplementsale.ru';

Wer ein Browser-Addon wie NoScript verwendet und so nicht jeder Website in einem technischen, anonymisierenden Medium das Ausführen von Code im Browser gestattet – was ich wärmstens empfehle – ist hier ans Ende angekommen und auf der sicheren Seite. Ansonsten gibt es die Weiterleitung auf eine Website, deren Fassade wie eine Betrugsapotheke der Machart „Canadian Pharmacy“ aussieht – gegen Erkältungsbeschwerden gibt es dort natürlich keine Hilfe.

Diese Website hat sich im „Web of Trust“ schon einen „beachtlichen“ Ruf erworben, der unter anderem solche Einblicke gibt (Hervorhebung von mir):

Kriminelle Website, die aktiv gefälschte Medikamente verkauft, spammt und Schadsoftware verteilt. Diese kriminelle Website muss in die Blacklists aufgenommen und stillgelegt werden!

Nun, auf den Blacklists ist die kriminelle Website schon. Das ist gut.

Oder so etwas:

Der einzige Zweck dieser Domain/Website ist es, an persönliche und an finanzielle Daten zu kommen, um damit zu betrügen. Eine Spam enthielt einen Link auf eine Website, die offensichtlich in boshafter Weise gecrackt wurde.

Man kann sich jetzt fragen, wie die Spammer auf die Idee kommen, dass eine Nachricht von Google die Bereitschaft des Empfängers erhöhen kann, Pimmelpillen zu kaufen. Das erscheint auch mir sehr unwahrscheinlich. Aber es wird ja auch vor Schadsoftware gewarnt, und auch ohne eingehende Analyse sieht das HTML der Website teilweise sehr verdächtig aus, wie etwa die folgende Zeile:

<img src="a1b4214db9ea8e8c6c9590ebf6e0325863c6.gif?1454249649" alt="" width="0" height="0" /><script type="text/javascript" src="a8bd2a44ce9327e6b8eaeb92899971abfeb9.gif?1454249650"></script>

Niemand, der nichts Übles im Schilde führt, würde eine Javascript-Datei .gif nennen, damit sie wie ein Bild aussieht – von dem auch ansonsten sehr unhandlichen Dateinamen, der jede spätere Pflege der Website erschwert, einmal ganz abgesehen. Der Webserver würde das Javascript ja sonst mit völlig falschem MIME-Type ausliefern, was nur Probleme bereiten kann…

Ich kann es nicht oft genug sagen: NoScript im Browser schützt vor solchen kriminellen Angriffen auf den Browser. Antivirus-Schlangenöl versagt hingegen häufig. Wenn sie bei der täglichen Nutzung des Internet mehr Computersicherheit benötigen oder haben möchten als die von Werbern und Journalisten versprochene „gefühlte Sicherheit“ durch ein Antivirus-Schlangenöl, dann verwenden sie auf jeden Fall einen wirksamen Adblocker (der ausnahmslos alle Ads blockt) und ein Browser-Addon, mit dem sie selbst anderen Websites das Privileg einräumen, Code im Browser auszuführen, statt dieses Privileg von einer Software automatisch an jeden vergeben zu lassen und dabei auf ihr Glück zu hoffen!

Der vom „Journalisten“ völlig unreflektiert und mutmaßlich von Google dafür bezahlt ins CMS übernommene Google-PR-Blah im verlinkten Artikel ist übrigens ein Beispiel für Schleichwerbung, oder, wie Werber und Journalisten (was beinahe zum Selben verkommen ist) diese Leserverachtung neuerdings, damit nicht jeder sofort versteht, wie sein Hirn mit Füßen getreten wird, zu nennen pflegen: „Content Marketing“. Wer so etwas Halbseidenes seinen Lesern zumutet, darf sich nicht darüber wundern, wenn es nichts wird mit seinem Geschäft mit dem Content! Ich sehe derartiges – und manches noch viel deutlichere Beispiel – inzwischen fast jeden verdammten Tag irgendwo, und ich war mehrfach kurz davor, für so etwas eine Kategorie „Schleichwerbung“ in Unser täglich Spam aufzumachen, weil ich diese Form der ungekennzeichneten Reklame für besonders fragwürdig und widerlich halte. Leider lässt es sich fast nie sicher belegen, sondern stets nur begründet vermuten, dass für solche Reklame Geld geflossen ist, und in der Bundesrepublik Deutschland mit ihrem vollumfänglichen Rechtsschutz für beleidigte Leberwürste, der freien Wahl des Gerichts durch den Kläger in Internet-Dingen und der regelmäßig absurden und klägerfreundlichen Rechtsprechung in der Hamburger Dunkelkammer sowie der rechtlichen Grauzone von Pressezitaten unter den Bedingungen des von Verlegern in unbeleuchteten Winkeln des Reichstages herbeilobbyierten „Leistungsschutzrechtes für Presseverleger“ wäre eine Auseinandersetzung mit dieser Unkultur mit einem völlig unkalkulierbaren juristischen Risiko verbunden, das für mich – und für Frank, der mir diesen Server zur Verfügung stellt – potenziell existenzbedrohend ist. Freuen sie sich schon darauf, dass sie in der nächsten Sonntagsrede einer obszönen politischen Selbstfeier hören können, wie wichtig die „Pressefreiheit“ und die „Meinungsfreiheit“ für eine „demokratische“ Gesellschaft sind! Ach!

Diese Spam ist ein Zustecksel meines Lesers E.T.

Article inquiry on http://www.tamagothi.de/

Montag, 25. Januar 2016

HI team at Tamagothi.de

Das ist genau mein Name, Bruder Dörrkopf! Wie ich wirklich heiße, ist auf der Seite, mit der du deine Geschäftchen machen willst, eher schwierig zu übersehen. :mrgreen:

How are you?

Ach, danke der Nachfrage, es geht mir eigentlich ganz gut. Ich habe nur so ein akutes Übelkeitsgefühl wegen der Spam, die du mir direkt ins Honigtöpfchen gemacht hast.

I came across your excellent German site: http://www.tamagothi.de/

How much would it be for an article placement with a do-follow link to a leading German finance/trading site in the main content area of an article, taking into account the 3 points below:

· We will get the German content written, which will be written by one of our high quality German writers. The content will beunique and definitely fit the nature of your site.

· The article is not marked as sponsored and will stay on the site permanently even if it rolls over into the archives.

· We will pay you via Paypal once the article is live.

Zunächst hättest du auf der von dir so umworbenen Website leicht einen Eindruck davon verschaffen können, wie ich zum Thema „Werbung auf meinen Websites“ stehe. Dass du darüber hinaus auch noch den expliziten Wunsch hast, dass ich meine Leser mit ungekennzeichneter Schleichwerbung verachte, lässt einen so tiefen Blick in deinen vergammelten Charakter zu, dass ich mich mit Grausen und verstärkter Übelkeit davon abwende.

Da brauche ich auch gar nicht mehr darüber nachzudenken, dass ich in der BRD für einen Link auf illegale Angebote haftbar gemacht werde – und hey, Spammer, es handelt sich bei deiner Mail bereits um eine klare Spam an automatisch eingesammeltes Adressmaterial, die als Werbemittel illegal ist. Da kann ich mir gut vorstellen, was verlinkt werden wird: Abzockcasinos, Betrugsapotheken und Markenimitatswebshops.

Please update me with a price and will speak to the suitable clients ASAP.

Wenn du dir etwas kaufen willst, kauf dir einen Lolly! Ein ungekennzeichnetes Podium für deine Schleichwerbung bei mir kriegst du nicht. (Allein schon, weil du auf illegale und asoziale Spam setzt, da brauchst du mich gar nicht mehr eigens dazu auffordern, dass ich meine paar Leser auch noch für eine Handvoll Klimpergroschen verachten soll.)

Thanks so much.

Danke für nichts! Geh einfach sterben, damit du endlich erfreulich tot bist! Dann bedanke ich mich auch.

Regards,

James – Manager

DigitalContentZone

Mit sprudelndem Schwall von frisch Erbrochenem
Nachtwächter – Spamtonnenleerungsobermanager
Inhalte statt Content

PS: Hey, James, du Brechmittel! Dass die von dir verlinkte Website – übrigens in einer über einen Dienstleister aus Florida anonym registrierten Domain – ohne Javascript gar nichts anzeigt, lässt dich keine Spur seriöser wirken. Da hilft es auch nicht, dass man mit Javascript ein Foto von einem Typen mit Schlips sieht…

Screenshot der Website dieser Werbeagentur, die halbseidene und leserverachtende Schleichwerbeplätze über illegale und asoziale Spam akquriert.

…der vermutlich etwas seriöser aussieht als du. Moment, aus welcher Domain bettest du die ganzen externen Javascript-Fetzen ein? wixstatic (punkt) com? Mit Verlaub, du Wichser, ich finde, das passt zu dir! :mrgreen:

Konto-Status

Dienstag, 19. Januar 2016

Nein, diese E-Mail kommt nicht von PayPal. Sie hat niemals einen Server von PayPal gesehen. Es handelt sich um Phishing. Wer Daten eingibt und absendet, übergibt sie an Kriminelle.

Von: service (at) paypol (punkt) co

Fast richtig!

Hey Spammer, wenn du schon einen Absender fälschst, kannst du es auch gleich richtig machen. Ach, da bist du zu doof für?! Oder du weißt gar nicht, dass das geht?! Gut so!

Lieber PayPal Kunde,

Genau mein Name! :mrgreen:

Aufgrund der jüngsten betrügerischen Aktivitäten haben wir ein neues Online-Sicherheitssystem für den maximalen Schutz der persönliche Daten unserer Kunden gestartet.

Wie, PayPal hat betrogen?! :mrgreen:

Nach dieser Tatsache, wird Ihnen angeboten, ihr PayPal-Konto zu aktualisieren.

Aha, die programmieren sich da einen zurecht, aber sie sind nicht dazu imstande, einfach mal ein paar Daten zu konvertieren (zumal sie das mit an Sicherheit grenzender Wahrscheinlichkeit gar nicht müssten), und deshalb muss man alles noch einmal eingeben. Sehr glaubwürdig!

Um Ihr PayPal-Konto zu aktualisieren, liegt Ihnen in Ihrer E-Mail Adresse ein Formular zur Verfügung.

Tja, im Rest der deutschsprachigen Welt spricht man von einem Mailanhang. :D

Bitte laden Sie das Formular aus, rufen Sie über Ihren Internet-Browser und folgen Sie den Anweisungen auf dem Bildschirm.

So so, „das Formular ausladen“. Das ist mal wieder ein Qualitäts-Spamdeutsch heute!

Apropos Deutsch:

Detail aus dem Mailanhang mit einer nachgemachten PayPal-Loginmaske und einem Button 'New anmelden'.

„New anmelden“ ist nicht die gelungendste aller Eindeutschungen. :mrgreen:

Hinweis: Das Formular muss in einem modernen Browser geöffnet werden, dass JavaScript aktiviert hat. (z.B. Internet Explorer, Mozilla Firefox)

Klar, ganz wichtig! Denn der Spammer schreibt da nicht so gern die Domain seines Phishing-Servers, an den die Daten alle gehen, direkt und im Klartext rein. Sonst kennt den bald jeder Spamfilter. Und das wäre schlecht für das „Geschäft“ des Spammers.

Nach Abschluss dieser Phase wird die Aktualisierung Ihres PayPal-Kontos normal funktionieren.

Vorher übrigens auch. :D

Wir entschuldigen uns für die Unannehmlichkeiten und danken Ihnen für Ihre Zeit.
Für weitere Informationen kontaktieren Sie bitte den Kundenservice.

Oh, wie höflich! Und…

Mit freundlichen Grüßen,

PayPal-Team.

…freundlich sind die auch noch! Aber PayPal ist das nicht.

Warum da nicht ein Link auf eine Phishing-Seite gesetzt wurde, sondern ein Anhang gemacht wurde, obwohl das irgendwie verdächtig aussieht? Ganz einfach: Selbst bei Menschen mit restriktiv konfiguriertem Browser gibt es oft Ausnahmen für lokale Dateien.

PayPal würde das übrigens niemals so machen. Warum nicht? Aus Sicherheitsgründen. Was das mit Sicherheit zu tun hat? Ich will es mal so sagen: Hier könnt ihr überprüfen lassen, ob euer PayPal-Passwort sicher genug ist.

Wer drauf reingefallen ist, hat das Wichtigste schon gelesen – für alle anderen: Ein Passwort ist eine Sicherheitsmaßnahme, die nur dann funktioniert, wenn das Passwort ausschließlich dort verwendet wird, wo es Zugang gewähren soll und niemals irgendwo anders. Im Falle des PayPal-Passwortes ist das die Login-Seite auf der Website von PayPal. Und sonst nirgends. Niemals! Wenn das Passwort nur ein einziges Mal an einer anderen Stelle eingegeben wurde, ist es als kompromittiert zu betrachten und sollte sofort geändert werden.

Eigentlich eine Banalität und Selbstverständlichkeit.

Aber eben auch eine der wichtigsten Maßnahmen für die Sicherheit bei passwortgeschützten Diensten.

[ID:772540] I can assure you that the payment has been found

Freitag, 11. Dezember 2015

Und schon wieder eine E-Mail mit vergiftetem Anhang, diesmal keine Excel-Mappe, sondern eine Javascript-Datei.

Please, accept our apology for the delay in refunding your money. Unfortunately, the delay will last a little longer for the reasons we’ve sent to you in the file attached.

Aha, der namenlose Absender weiß also nicht, wie ich heiße, fummelt aber mit meinem Geld herum. Um was zum hackenden Henker es dabei geht und welche Probleme dabei aufgetreten sind, konnte er leider nicht mehr in die E-Mail schreiben, weil das Mailpapier alle war – und deshalb steht es angeblich in einem Anhang.

Und genau dieses Schema bedeutet: ALARM!

Solche Spams, die keinerlei konkrete Information enthalten und mit allerlei Begründungen zum Öffnen eines Anhanges verleiten, aus dem man erst erfährt, um was es überhaupt geht, sind immer Schadsoftware. Wer den Anhang mit Doppelklick öffnet, hat verloren und hinterher einen Computer anderer Leute auf dem Tisch stehen.

Das gilt auch in diesem Fall.

An der Spam hängt ein ZIP-Archiv. Dieses enthält eine einzige Datei, und zwar ein vorsätzlich kryptisch und unverständlich gecodetes Javascript-Programm¹. Warum das vorsätzlich unverständlich programmiert wurde? Na, um eine Analyse zu erschweren, denn es handelt sich um Schadsoftware. Diese ist auch schon zwei oder drei Tage alt, so dass sie inzwischen von gut der Hälfte der gängigen Antivirus-Schlangenöle als Schadsoftware erkannt wird.

Da man sich auf Antivirus-Schlangenöle nicht verlassen kann, gilt Folgendes: Niemals einen zugesendeten Mailanhang öffnen, der nicht vorher explizit abgesprochen wurde. Dies gilt auch für „harmlose“ Dateiformate wie PDF. Wenn ein Anhang in einer Standardspam kommt, in deren Text nicht die geringste Information steht (außer vielleicht ein paar technokratisch anmutende Nummern und Daten) und wenn behauptet wird, dass die Information im Anhang ist, handelt es sich immer um Schadsoftware, und oft sogar um so aktuelle, dass das Antivirus-Programm dagegen machtlos ist.

Solche Mails immer unbesehen löschen! Es gibt keinen objektiven Grund, im Text der Mail nicht klarzumachen, um was zum hackenden Henker es eigentlich geht. Es gibt aber – vor allem, wenns um Geld geht – sehr viele Gründe, sich so klar und unmissverständlich wie nur irgend möglich auszudrücken. Kurz: Niemand, der bei Sinnen ist, schreibt so etwas wie „Hallo, sie müssen wegen der Registriernummer 08/15 grundlos achthundert Euro bezahlen, näheres finden sie heute nur im Anhang, tschüss!“. Wer in diesem Stil schreibt, dessen Mails sollten als Mail gefährlicher Irrer oder Krimineller behandelt werden.

Es gibt im Moment eine ganze Flut von E-Mail mit angehängter Schadsoftware. Diese Pest kommt immer mal wieder. Im Moment sind es vor allem Office-Dokumente mit Makrocode und originelle Versuche wie diese Javascript-Datei. Das einzige, was sicher dagegen schützt, ist ein solides Misstrauen gegen das Medium E-Mail, das sich grob an folgenden Regeln orientiert:

  1. E-Mail ist eines der Hauptmedien für Kriminelle. Über E-Mail werden Betrugsgeschäfte eingeleitet, über E-Mail wird Schadsoftware versendet, über E-Mail werden Helfershelfer gesucht. E-Mail ist gefährlich, sowohl in technischer als auch in psychologischer Hinsicht. Schade, dass sie auch so unendlich praktisch ist, dass man sie nicht einfach vermeiden kann…
  2. Das Öffnen eines E-Mail-Anhanges eines Unbekannten ist russisches Roulette. Manchmal geht es gut, aber das Risiko ist gewaltig. Und auch Menschen, die glauben, dass ihre Computer „völlig uninteressant“ sind, werden sich umschauen, wenn erst einmal an Adressen ihres Adressbuches mit ihrem Absender Betrugsmails mit persönlichen Ansprachen aus dem Adressbuch gehen – und sie sich in Kürze darauf einstellen können, ihre Geschichte einem Untersuchungsgericht zu erzählen. So etwas läuft bereits. Die Trojaner der Kriminellen sind keine harmlosen Spielzeuge kleiner Kinder!
  3. Niemals an den Absender einer E-Mail glauben! Der Absender einer E-Mail ist leicht und völlig beliebig fälschbar. Das einzige, was eine gewisse Sicherheit über den Absender schafft, ist die digitale Signatur von E-Mail – sie erfordert, im Besitz des privaten Schlüssels des Absenders zu sein. Wo immer das irgend möglich ist, sollte digital signiert werden und die Signatur eingehender E-Mail auch überprüft werden.
  4. Jede nicht digital signierte E-Mail ist als E-Mail eines Unbekannten zu betrachten! Auch bei der Oma, auch beim Chef, auch beim alten Schulfreund. Das Fälschen des Absenders ist so einfach, dass es jeder fortgeschrittene Fünfjährige hinbekommt. Wenn ein Anhang dranhängt, der wirklich so dringlich sein könnte, dass man ihn schnell öffnen sollte: Niemals öffnen, bevor telefonisch abgeklärt wurde, dass die E-Mail echt ist!
  5. Selbst so schnell wie möglich damit beginnen, E-Mail digital zu signieren und andere Menschen dazu anleiten, dies ebenfalls zu tun! Es ist die einzige einfach anzuwendende Schutzmaßnahme gegen kriminelle Irreführungen, die uns zur Verfügung steht².

Einen anderen Weg zur Herstellung von E-Mail-Sicherheit als diese Umsicht gibt es nicht. Zum Glück ist es ein relativ einfacher Weg, der nichts kostet und nur ein wenig Aufmerksamkeit und Bewusstsein verlangt – jeder Mensch von normaler, alltagspraktischer Intelligenz sollte damit klarkommen. Wer wissen möchte, wie man E-Mail digital signiert, findet relativ leicht verständliche Hinweise im Web. Nutzer des Thunderbird gehen einfach hier lang.

¹Kein Programmierer, der seinen Code noch pflegen muss oder pflegen können möchte, würde so programmieren.

²Warum die vom Phishing mutmaßlich um einen zwei- bis dreistelligen Millionenbetrag geschädigten Banken nicht dazu übergehen, ihre gesamte E-Mail-Kommunikation digital zu signieren und ihre Kunden über diese Maßnahme aufzukären, damit jeder in die Lage versetzt wird, den Absender eine Bank-Mail sicher feststellen zu können, gehört zu den Fragen, die wohl nur die Banken beantworten können. Kleiner Tipp von mir: Kostengründe sind es nicht. Die Software ist nicht nur (mit ausgereifter Schnittstelle zu jeder gängigen Programmiersprache) verfügbar, diese Software ist auch frei; die einmaligen Kosten für eventuelle Programmanpassungen amortisieren sich binnen kürzester Zeit. Es fällt mir schwer, einen anderen Grund als Trägheit, Dummheit und Kundenverachtung zu finden.

You have missed notifications contemporary

Dienstag, 3. November 2015

YouTube -- You have missed notification. -- (Link) View notifications. -- Very truly yours -- Youtube service -- © 2015 YouTube, LLC 901 Cherry Ave, San Bruno, CA 94066. This notification was sent to elias.schwerdtfeger@googlemail.com because you indicated that you are willing to receive occasional YouTube product-related notifications. If you do not wish to receive such notifications in the future, please unsubscribe. You can also change your preferences by visiting your Email Options in your YouTube account.

Oh, „YouTube“ kann ja sein eigenes Logo gar nicht mehr. Und der Absender „YouTube Notifier“ verwendet die Absenderadresse cwei (at) mail2hot (punkt) com und keine Adresse in der Domain von YouTube. Und der explizit eingetragene Name des Empfängers ist nicht etwa der bei YouTube verwendete Name, sondern unnötigerweise noch einmal die Mailadresse des Empfängers.

Ich glaube, dass niemand auf diese Spam reinfallen kann, der seine fünf Sinne beisammen hat. Die verlinkte Website wird leider zurzeit von den meisten Antivirus-Programmen nicht als Schadsoftwareschleuder erkannt, aber vor einem Klick kann ich nur warnen. Sie enthält unsichtbare Inhalte und eine in Javascript gecodete Weiterleitung auf eine Website, die sich schon eine beachtliche „Reputation“ als betrügerisch, illegal, virusverseucht und spambeworben abgeholt hat und deshalb auf mehreren einschlägigen Blacklists steht – nur die Antivirus-Schlangenöle versagen in ihrer Mehrzahl beim Erkennen dieser Website als kriminelle Dreckschleuder. Das Problemchen mit den Blacklists ist ja auch der Grund, warum in den Spams ein Link in ein gecracktes WordPress-Blog gelegt wurde, das dann dorthin weiterleitet…

Und deshalb klickt man übrigens niemals in eine Spam.

Wer so schlau ist, nicht jeder dahergelaufenen Website das Ausführen von JavaScript zu gestatten und mithilfe eines geeigneten Addons dieses Privileg nur für vertrauenswürdige Sites einschaltet, kann übrigens gar nicht auf diese Weise überrumpelt werden – und ist generell viel sicherer im Web unterwegs. In diesem Fall hätte es nur eine weiße Seite gegeben.

New voicemail 3:35AM

Freitag, 16. Oktober 2015

Wer schreibt denn da?

Von: Whats App <er (punkt) steinnn (at) csu (strich) landtag (punkt) de>

Bwahahahaha!

Muss ich noch erklären, dass diese toll gestaltete HTML-Mail…

Screenshot der angeblichen Whatsapp-Mail

…mit einer angeblichen „New voice message“ eines leider völlig unerwähnten anderen Menschen nicht von WhatsApp kommt? Wenn die Spammer sogar zu doof sind, sich beim Fälschen des Absenders etwas einigermaßen überzeugendes auszudenken, ist es wirklich leicht, niemals auf eine Spam reinzufallen. (Aber Achtung! Viele Spammer machen es viel besser!)

Der Klick auf „Play“ führt dann auch nicht zu WhatsApp, sondern in die Domain lovelessknives (punkt) com. Wer darauf klickt, lasse alle Hoffnung fahren! Erstmal gibt es eine Weiterleitung, die natürlich nicht in Klartext formuliert ist, sondern schön undurchschaubar mit JavaScript und einem bisschen „Kryptografie“ aus dem Spamkindergarten erledigt wird:

Screenshot der Ausgabe von 'lynx -dump -mime_header' in einem Terminalfenster, dabei wird der vorsätzlich kryptische Quelltext der Seite sichtbar

Diese lustig formulierte JavaScript-Weiterleitung führt in die Website der Domain naturalherbsoutlet (punkt) ru, und das, was man dort zu sehen bekommt, ist eine der vielen Inkarnationen der Betrugsnummer „Canadian Pharmacy“ – eine kanadische „Apotheke“ in der russischen TLD, die eher nichts gegen Erkältungsbeschwerden zu verkaufen hat:

Screenshot der betrügerischen Website, die beinahe nur Pimmelpillen und Medikamente mit hohem Potenzial des Medikamentenmissbrauches anzubieten hat -- zum Vergrößern klicken

Aber warum sollte jemand, der glaubt, gleich nach dem Klick eine WhatsApp-Nachricht zu hören, jetzt auf einmal Interesse an Pimmelpillen bekommen? Richtig, das ist schon ein bisschen verdächtig. Deshalb ist wohl die Website auch als „attackierend“ gemeldet und wird in den meisten Browsern nur noch angezeigt, wenn man einen auffälligen alarmroten Hinweis wegklickt, dass man das Risiko eingeht. Ich konnte zwar keine Anzeichen für einen Angriff erkennen, aber ich habe hier auch nicht durchanalysiert und außerdem keinen Standard-Browser verwendet, so dass entsprechender Code möglicherweise gar nicht erst ausgeliefert wird. Links aus einer Spam sind in keinem Fall vertrauenswürdig und können schnell einen Ärger verursachen, der in keinem guten Verhältnis zur befriedigten Neugierde steht. Wer in seinem Browser keinerlei Vorkehrungen trifft, wer also nicht mindestens ein Browser-Addon wie NoScript verwendet, kann nach einem einzigen Klick in eine Spam – die keineswegs so leicht als Spam erkennbar sein muss wie in diesem Beispiel – einen Computer anderer Leute auf dem Tisch stehen haben, denn die Verbrecher sind auf neuestem technischen Stand. Ein so genanntes „Antivirusprogramm“ hilft dagegen eher nicht, es erkennt nur schon bekannte Schädlinge und Angriffe, und niemals die frischeste Brut der Kriminellen. Nicht einmal seinen Hersteller kann ein so genanntes Antivirus-Programm schützen!

Diese Spam ist ein Zustecksel meines Lesers E.T.

Holen Sie sich Ihr Willkommensangebot

Freitag, 11. September 2015

Hallo,

Das ist ja wieder genau mein Name! :D

Ein 200% Bonus hilft Ihnen, Ihre erste Einzahlung zu verdreifachen. Das erwarten Sie, wenn Sie sich jetzt bei Ruby Fortune auf dem Handy registrieren.
http://garantia.com.pt/fourteenth.html

Wenn mir das Dreifache des Geldes, das ich irgendwo hingegeben habe, als „Guthaben“ angezeigt wird, dann weiß ich vor allem, welchen Wert diese angezeigte Zahl hat. Nein, da kaufe ich mir lieber Lakritztaler, die kann ich wenigstens noch essen…

Mal schauen, was das wieder für eine tolle Website ist.

Screenshot meines Terminals mit der Ausgabe von Lynx

Aha, diese Seite ist also permanent umgezogen. Und wohin? Genau, auf ihre eigene URL. Da muss man ja auch nicht so viel Geraffel herumtragen, wenn man umzieht. :D

Aber aufgepasst! Wenn man die gleiche Seite mit einem richtigen Desktopbrowser¹ aufruft, bekommt man etwas ganz anderes geliefert:

Screenshot der Seitenquelltext-Ansicht im Firefox mit vorsätzlich kryptischem Javascript

Dieser Casino-Spezialexperte von der hart umkämpften Affiliate-Front hat es also ganz offenbar geschafft, den vom Browser übergebenen User-Agent auszuwerten und seine vorsätzlich kryptisch formulierte Javascript-Weiterleitung vor eventuellen automatischen Analysen zu verbergen. Gratulation! Das schafft nicht jeder Elfjährige!

Wer meint, dass solche Tricksereien eine Empfehlung sind, den Leuten, die so etwas nötig zu haben scheinen, auch noch Geld zu geben, weil…

Plus, es gibt großartige Spiele, tolle Promotionen und hervorragende Preise.

…in einer illegalen und asozialen Spam steht, dass das etwas ganz Tolles und Großartiges sei: Immer nur zu, ihr seid alle erwachsene Menschen. Gegen Doofheit gibts leider noch keine Pillen.

Das Design des „potemkinschen Casinos“ namens „Ruby Palace“ ist nach wie vor unverändert, nur, dass es diesmal unter der Domain webstarsgame (punkt) com zu finden ist. Diese „Casinos“ ziehen häufiger im Internet um, als sich ein neurotischer Reinlichkeitsfanatiker die Hände wäscht.

Viel Spaß

Spaß gibts übrigens woanders viel mehr.

Alles Gute!

Auch ich wünsche dir alles Gute auf deinem weiteren Lebensweg, Spammer. Deine tolle Spam habe ich zu meiner Entlastung in den virtuellen Orkus geworfen.

¹Bitte solche gefährlichen Experimente nur auf einem besonders gesicherten System machen! Der Ärger, den man sich mit einem einzigen Klick in eine Spam holen kann, ist das bisschen befriedigte Neugier nicht wert. Wer nicht weiß, wie man ein besonders gesichertes System herstellt, sollte gar nicht erst drüber nachdenken. Und nein: ein so genanntes „Antivirus-Programm“ und eine „Personal Firewall“ machen aus einem Computer kein besonders gesichertes System.