Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.

Schlagwortarchiv „JavaScript“

You have missed notifications contemporary

Dienstag, 3. November 2015

YouTube -- You have missed notification. -- (Link) View notifications. -- Very truly yours -- Youtube service -- © 2015 YouTube, LLC 901 Cherry Ave, San Bruno, CA 94066. This notification was sent to elias.schwerdtfeger@googlemail.com because you indicated that you are willing to receive occasional YouTube product-related notifications. If you do not wish to receive such notifications in the future, please unsubscribe. You can also change your preferences by visiting your Email Options in your YouTube account.

Oh, „YouTube“ kann ja sein eigenes Logo gar nicht mehr. Und der Absender „YouTube Notifier“ verwendet die Absenderadresse cwei (at) mail2hot (punkt) com und keine Adresse in der Domain von YouTube. Und der explizit eingetragene Name des Empfängers ist nicht etwa der bei YouTube verwendete Name, sondern unnötigerweise noch einmal die Mailadresse des Empfängers.

Ich glaube, dass niemand auf diese Spam reinfallen kann, der seine fünf Sinne beisammen hat. Die verlinkte Website wird leider zurzeit von den meisten Antivirus-Programmen nicht als Schadsoftwareschleuder erkannt, aber vor einem Klick kann ich nur warnen. Sie enthält unsichtbare Inhalte und eine in Javascript gecodete Weiterleitung auf eine Website, die sich schon eine beachtliche „Reputation“ als betrügerisch, illegal, virusverseucht und spambeworben abgeholt hat und deshalb auf mehreren einschlägigen Blacklists steht – nur die Antivirus-Schlangenöle versagen in ihrer Mehrzahl beim Erkennen dieser Website als kriminelle Dreckschleuder. Das Problemchen mit den Blacklists ist ja auch der Grund, warum in den Spams ein Link in ein gecracktes WordPress-Blog gelegt wurde, das dann dorthin weiterleitet…

Und deshalb klickt man übrigens niemals in eine Spam.

Wer so schlau ist, nicht jeder dahergelaufenen Website das Ausführen von JavaScript zu gestatten und mithilfe eines geeigneten Addons dieses Privileg nur für vertrauenswürdige Sites einschaltet, kann übrigens gar nicht auf diese Weise überrumpelt werden – und ist generell viel sicherer im Web unterwegs. In diesem Fall hätte es nur eine weiße Seite gegeben.

New voicemail 3:35AM

Freitag, 16. Oktober 2015

Wer schreibt denn da?

Von: Whats App <er (punkt) steinnn (at) csu (strich) landtag (punkt) de>

Bwahahahaha!

Muss ich noch erklären, dass diese toll gestaltete HTML-Mail…

Screenshot der angeblichen Whatsapp-Mail

…mit einer angeblichen „New voice message“ eines leider völlig unerwähnten anderen Menschen nicht von WhatsApp kommt? Wenn die Spammer sogar zu doof sind, sich beim Fälschen des Absenders etwas einigermaßen überzeugendes auszudenken, ist es wirklich leicht, niemals auf eine Spam reinzufallen. (Aber Achtung! Viele Spammer machen es viel besser!)

Der Klick auf „Play“ führt dann auch nicht zu WhatsApp, sondern in die Domain lovelessknives (punkt) com. Wer darauf klickt, lasse alle Hoffnung fahren! Erstmal gibt es eine Weiterleitung, die natürlich nicht in Klartext formuliert ist, sondern schön undurchschaubar mit JavaScript und einem bisschen „Kryptografie“ aus dem Spamkindergarten erledigt wird:

Screenshot der Ausgabe von 'lynx -dump -mime_header' in einem Terminalfenster, dabei wird der vorsätzlich kryptische Quelltext der Seite sichtbar

Diese lustig formulierte JavaScript-Weiterleitung führt in die Website der Domain naturalherbsoutlet (punkt) ru, und das, was man dort zu sehen bekommt, ist eine der vielen Inkarnationen der Betrugsnummer „Canadian Pharmacy“ – eine kanadische „Apotheke“ in der russischen TLD, die eher nichts gegen Erkältungsbeschwerden zu verkaufen hat:

Screenshot der betrügerischen Website, die beinahe nur Pimmelpillen und Medikamente mit hohem Potenzial des Medikamentenmissbrauches anzubieten hat -- zum Vergrößern klicken

Aber warum sollte jemand, der glaubt, gleich nach dem Klick eine WhatsApp-Nachricht zu hören, jetzt auf einmal Interesse an Pimmelpillen bekommen? Richtig, das ist schon ein bisschen verdächtig. Deshalb ist wohl die Website auch als „attackierend“ gemeldet und wird in den meisten Browsern nur noch angezeigt, wenn man einen auffälligen alarmroten Hinweis wegklickt, dass man das Risiko eingeht. Ich konnte zwar keine Anzeichen für einen Angriff erkennen, aber ich habe hier auch nicht durchanalysiert und außerdem keinen Standard-Browser verwendet, so dass entsprechender Code möglicherweise gar nicht erst ausgeliefert wird. Links aus einer Spam sind in keinem Fall vertrauenswürdig und können schnell einen Ärger verursachen, der in keinem guten Verhältnis zur befriedigten Neugierde steht. Wer in seinem Browser keinerlei Vorkehrungen trifft, wer also nicht mindestens ein Browser-Addon wie NoScript verwendet, kann nach einem einzigen Klick in eine Spam – die keineswegs so leicht als Spam erkennbar sein muss wie in diesem Beispiel – einen Computer anderer Leute auf dem Tisch stehen haben, denn die Verbrecher sind auf neuestem technischen Stand. Ein so genanntes „Antivirusprogramm“ hilft dagegen eher nicht, es erkennt nur schon bekannte Schädlinge und Angriffe, und niemals die frischeste Brut der Kriminellen. Nicht einmal seinen Hersteller kann ein so genanntes Antivirus-Programm schützen!

Diese Spam ist ein Zustecksel meines Lesers E.T.

Holen Sie sich Ihr Willkommensangebot

Freitag, 11. September 2015

Hallo,

Das ist ja wieder genau mein Name! 😀

Ein 200% Bonus hilft Ihnen, Ihre erste Einzahlung zu verdreifachen. Das erwarten Sie, wenn Sie sich jetzt bei Ruby Fortune auf dem Handy registrieren.
http://garantia.com.pt/fourteenth.html

Wenn mir das Dreifache des Geldes, das ich irgendwo hingegeben habe, als „Guthaben“ angezeigt wird, dann weiß ich vor allem, welchen Wert diese angezeigte Zahl hat. Nein, da kaufe ich mir lieber Lakritztaler, die kann ich wenigstens noch essen…

Mal schauen, was das wieder für eine tolle Website ist.

Screenshot meines Terminals mit der Ausgabe von Lynx

Aha, diese Seite ist also permanent umgezogen. Und wohin? Genau, auf ihre eigene URL. Da muss man ja auch nicht so viel Geraffel herumtragen, wenn man umzieht. 😀

Aber aufgepasst! Wenn man die gleiche Seite mit einem richtigen Desktopbrowser¹ aufruft, bekommt man etwas ganz anderes geliefert:

Screenshot der Seitenquelltext-Ansicht im Firefox mit vorsätzlich kryptischem Javascript

Dieser Casino-Spezialexperte von der hart umkämpften Affiliate-Front hat es also ganz offenbar geschafft, den vom Browser übergebenen User-Agent auszuwerten und seine vorsätzlich kryptisch formulierte Javascript-Weiterleitung vor eventuellen automatischen Analysen zu verbergen. Gratulation! Das schafft nicht jeder Elfjährige!

Wer meint, dass solche Tricksereien eine Empfehlung sind, den Leuten, die so etwas nötig zu haben scheinen, auch noch Geld zu geben, weil…

Plus, es gibt großartige Spiele, tolle Promotionen und hervorragende Preise.

…in einer illegalen und asozialen Spam steht, dass das etwas ganz Tolles und Großartiges sei: Immer nur zu, ihr seid alle erwachsene Menschen. Gegen Doofheit gibts leider noch keine Pillen.

Das Design des „potemkinschen Casinos“ namens „Ruby Palace“ ist nach wie vor unverändert, nur, dass es diesmal unter der Domain webstarsgame (punkt) com zu finden ist. Diese „Casinos“ ziehen häufiger im Internet um, als sich ein neurotischer Reinlichkeitsfanatiker die Hände wäscht.

Viel Spaß

Spaß gibts übrigens woanders viel mehr.

Alles Gute!

Auch ich wünsche dir alles Gute auf deinem weiteren Lebensweg, Spammer. Deine tolle Spam habe ich zu meiner Entlastung in den virtuellen Orkus geworfen.

¹Bitte solche gefährlichen Experimente nur auf einem besonders gesicherten System machen! Der Ärger, den man sich mit einem einzigen Klick in eine Spam holen kann, ist das bisschen befriedigte Neugier nicht wert. Wer nicht weiß, wie man ein besonders gesichertes System herstellt, sollte gar nicht erst drüber nachdenken. Und nein: ein so genanntes „Antivirus-Programm“ und eine „Personal Firewall“ machen aus einem Computer kein besonders gesichertes System.

BetreffAW: Ihr Onlinebanking-Zugang

Montag, 20. Juli 2015

Es ist mir auch ohne das Wort „Betreff“ im Betreff klar, dass es sich um einen Betreff handelt.

Die E-Mail ist HTML-formatiert und ahmt im Großen und Ganzen das Design der Website der Comdirekt Bank AG nach. Das großformatige, für eine E-Mail völlig ungeeignete Layout wird sicherlich häufig nicht gut lesbar dargestellt.

Wer diese Mail bekommen hat und sich unsicher ist: Nein, trotz des Layouts kommt diese Mail nicht von der Comdirekt Bank AG, sondern von Kriminellen, die Menschen zur Preisgabe ihrer Daten überrumpeln wollen, damit sie das Konto übernehmen können. Ich kann leider nicht beurteilen, ob die Comdirekt Bank AG zurzeit ihre Kunden vor dem laufenden Phishing warnt, da die Comdirekt Bank AG eine Website betreibt, die ohne aktiviertes Javascript keine Inhalte darstellt. Einer in meinen Augen unseriösen und verachtenswerten Unternehmung wie einem Kreditinstitut werde ich gewiss nicht gestatten, Code in meinem Browser auszuführen…

Screenshot eines Details aus der Comdirekt-Bank-Website: 'In Ihrem Browser ist JavaScript deaktiviert. Die Nutzung der comdirect-Website ist ohne JavaScript nicht möglich. Sollten Sie weiterhin Probleme mit dem Zugriff auf die Seite haben, wenden Sie sich bitte während unserer Servicezeiten an unsere Hotline unter der Rufnummer 04106 - 708 xx xx.'Es gibt übrigens keinen sachlichen oder technischen Grund, öffentlich lesbare Inhalte nicht in textueller Form zu hinterlegen – also so, wie es zum Beispiel hier bei Unser täglich Spam geschieht. Wenn die Comdirekt-Bank Interessierten und Kunden auf der Startseite – siehe Screenshot rechts – verkündet, dass dies nicht möglich sei, handelt es sich um eine Unwahrheit; in Wirklichkeit sind die Betreiber dieser Website aus mir unbekannten Gründen unwillens, die einfachen Dinge auf einfachem Wege zu machen. Welche Gründe das sein könnten, gehört zu den Fragen, über die ich nur spekulieren kann, und keine meiner Annahmen würfe ein gutes Licht auf die Comdirekt Bank AG.

Jetzt aber zur Spam:

Sehr geehrte Kundin,
Sehr geehrter Kunde,

wie Sie wissen, wird unser online-banking stets aktualisiert, um immer den höchsten Standart [sic!] an Synchronität [oha!] und Sicherheit beizubehalten. Um sicherzustellen, dass Sie das neue System des online-bankings problemlos und synchron nutzen [sic!] können, müssen Ihre persönlichen Address- und Telefondaten noch einmal von Ihnen bestätigt werden. Dies ist notwendig um keine alten Daten in das neue Onlinebanking zu übernehmen [sic!]. Um Ihre persönlichen Daten zu aktualisieren, melden Sie sich hier bitte zunächst bei Ihrem Onlinebanking an.

Klicken Sie hier – >

Sehr geehrtes Namenloses,

für den gar nicht so seltenen Fall, dass sie mehrere Konten haben, sagen wir ihnen nicht, um welches Konto es sich handelt. Wir fummeln ständig an unserem Technozauber für die Internet-Fernkontoführung herum, und sie wissen das ja schon. Das machen wir wegen Standarten, Sicherdingsbums und zeitlicher Übereinstimmung. Damit sie das Dingens jetzt weiter nutzen können, müssen sie uns eine Menge Daten mitteilen, die wir schon längst wüssten, wenn wir ihre Bank wären. Warum? Damit wir nicht versehentlich veraltete Daten benutzen. Ihre vertragliche Verpflichtung, Änderungen umgehend mitzuteilen, bleibt davon natürlich unberührt. Und jetzt melde sie sich an und klicken sie auf „klick hier“, einem dummen Text, der nur in Spams und anderen unerwünschten Mails zu finden ist! Wundern sie sich nicht darüber, dass die Website der „Comdirekt Bank“ jetzt in einer russischen Domain liegt, und wundern sie sich auch nicht darüber, dass der Link indirekt gesetzt ist und einen Umweg über eine andere gehackte Website geht!

Die Phishing-Seite sieht so aus:

Screenshot der Phishing-Site

Herzallerliebst auch die Warnung vor Wischofon-Trojanern! Aber natürlich sollte man generell niemals in eine E-Mail klicken, um die Website einer Bank aufzurufen, denn damit wird man leicht von Verbrechern überrumpelt. Seit ungefähr 21 Jahren¹ haben Webbrowser so genannte „Lesezeichen“. :mrgreen:

Nachdem Sie das Formular im Onlinebanking ausgefüllt haben, wird von Ihnen kein weiterer Schritt zur Aktualisierung benötigt. Sie werden innerhalb von 48 Stunden nach dem Ausfüllen des Formulars von einem Mitarbeiter unserer online-banking Abteilung telefonisch kontaktiert, um die Aktualisierung Ihres Online-Banking abzuschließen. Vielen Dank für Ihr Verständnis und Ihr Vertrauen in die comdirect.

Nachdem sie aufs Phishing reingefallen sind, sind sie fertig und brauchen nichts mehr zu tun. Sie müssen nur noch eines tun: In den nächsten Stunden jemanden, der sie anruft, weitere Daten am Telefon sagen! Vielen Dank für ihre Dummheit und ihr Vertrauen in etwas Layout in einer HTML-formatierten Mail – aber da können sie ja auch gar nicht anders, weil die meisten Kreditinstitute sich nach wie vor ohne jeden technischen und sachlichen Grund dagegen verwehren, grundsätzlich nur noch digital signierte E-Mail an ihre Kunden zu versenden, um auf diese Weise den Absender und den unveränderten Inhalt überprüfbar zu machen und so den Phishing-Sumpf langsam auszutrocknen. Die dafür erforderliche Technik steht sogar schon viel länger zur Verfügung als die Lesezeichen in Webbrowsern, und sie kostet nichts.

Vielen Dank für Ihr Verständnis und Ihr Vertrauen in die comdirect.

Ach ja, und danke, dass sie volles Verständnis dafür haben, dass ich als Spammer es nicht so mit der Sorgfalt habe und deshalb sehr nachlässig werde, wenn ich meinen eigentlichen Betrugstext fertig habe.

Mit freundlichen Grußen [sic!],

Kundendienst,

Mit freundlichem Gruseln
Dein Phishing-Spammer

¹Der erste Webbrowser mit Lesezeichen war meines Wissens der Mosaic Netscape 0.95 beta aus dem Jahr 1994.

Gute Neuigkeiten von Christian

Samstag, 11. Juli 2015

Hallo,

Ich heiße aber „Hi“!

heute ist Ihr Glückstag! Ihr guter Freund Christian hat Sie eingeladen, ebenfalls bei uns im Ruby Palace Casino zu spielen. Er hat bereits mehr als 350 Euro beim Video Poker gewonnen.

Wow, habe ich heute ein Glück. Ich kriege Spam von Affiliate-Spammern, die Geld dafür kassieren, dass sie andere Leute in irgendwelche Abzock-Casinos im Internet treiben. Und diese Leute sagen auch noch was von „guter Freund“. Ich habe so ein Glück, ich könnte morden vor Glück!

Und er ist nicht der Einzige – dank Auszahlungsquoten, die 97% regelmäßig überschreiten, gibt es bei uns täglich große Gewinne. Und Sie könnten als Nächstes dabei sein. Falls Video Poker nicht so Ihr Ding ist… keine Sorge. Bei uns gibt es eine große Auswahl an Spielen, von klassischen Tischspielen wie Craps und Blackjack bis hin zu hochmodernen Spielautomaten wie Thunderstruck II und The Dark Knight™.

Und das ist ein ganz tolles Abzock-Casino. Da gibts ganz viele auf dem Bildschirm dargestellte „Spiele“, die mit viel Grafik so tun, als seien sie etwas anderes als die Anzeige eines Rechenvorgangs. Aber obwohl da Walzen, Würfel, Karten und Kugeln gezeigt werden, handelt es sich immer um ein vom Betreiber beliebig und unentdeckbar manipulierbares Ereignis. Und damit man diesem Betreiber vertraut, gibt es eine Flut von illegaler und asozialer Spam, die echt freundlich formuliert ist. Was wird es wohl bedeuten, dass diese Casino-Betreiber aus irgendeinem Grund der Meinung sind, dass sich ohne illegale und asoziale Spam niemand für ihre Abzock-Casinos interessiert? Ach! Vermutlich liegt das einfach daran, dass das so tolle Läden sind…

Jeder Freund von Christian ist ein Freund von uns und so geben wir Ihnen einen besonderen 200% Bonus auf Ihre erste Einzahlung, der Ihr Guthaben verdreifacht. Ein einzigartiges Angebot, dass garantiert von niemand anders übertroffen wird.

Und ein einzigartiges Angebot gibt es. Ich kann denen einen großen grünen 100-Euro-Schein geben, und die zeigen mir in einem Computerprogramm dann 300 Euro an. Das ist doch ein toller Tausch, da fühlste dich wie Hans im Glück! Wer könnte dazu „nein“ sagen?! :mrgreen:

Worauf warten Sie noch? Tragen Sie sich wie Christian auf der Liste der Gewinner ein. http://gsn-bau.de/yxvejfvh.htm

Um den Eindruck von Seriosität zu erhöhen, wird nicht etwa eine eigene Domain in der Spam verbrannt, sondern einfach eine Website von anderen Leuten – in diesem Fall die Bremer Gesellschaft für Gesamtkonzeptionen in Sanierung und Neubau¹ – mit einem Crack übernommen, und da wird dann die Weiterleitung draufgespielt. Und die ist nicht etwa so implementiert, wie das ein normaler Mensch machen würde, der seinen Code vielleicht auch mal pflegen und verstehen muss, sondern ein gutes Beispiel für Javascript-Missbrauch, damits auch bei automatischen Scans nicht so auffällt, was das für ein Rotz ist:

Screenshot des JavaScript-Codes, den ich mit Lynx in meinem Terminal abgerufen habe

So codet niemand, der kein Verbrecher ist.

Diese vorsätzlich kryptische Javascript-Code ist eine Weiterleitung in die Domain rubywebroyal (punkt) com, wo man das übliche potemkinsche „Casino“ von Affiliate-Spammern sehen kann:

Screenshot der betrügerischen Website

Das unterscheidet sich nicht von der Betrugssite, die im April des letzten Jahres unter einer anderen Domain vorlag. Damals war es aber „mein guter Freund Markus“, der mir ein „Casino“ empfohlen hat, von dem man nur aus der Spam erfährt – und das schon damals lieber seine Links über kriminell gecrackte Websites anderer Leute gesetzt hat.

Alles Gute!

Ihr könnt mich auch mal!

¹Der Mailserver der Sitebetreiber weigert sich, eine Mail von mir anzunehmen, und damit tuts mir auch nur noch halb so leid, wenn mit diesem Posting ein bisschen Reputation beschädigt wird. An sich ist mir Kommunikation lieber…

Google will Interstitials abstrafen

Dienstag, 9. Juni 2015

Kennt ihr das?

Ihr klickt auf einen Link (zum Beispiel aus einem Suchergebnis, in einem S/M-Dienst¹ oder einem Blogartikel) und statt des gewünschten Textes gibt es…

  • …eine Vorschaltseite mit einem (bei Adblocker-Nutzern meist fehlschlagenden) Reklameeinblendungsversuch, die man irgendwie (an einer Stelle, die man erst einmal zu suchen und zu finden hat) wegklicken muss?
  • …ein den Inhalt überlagerndes LayerAd, das man irgendwie (an einer Stelle, die man erst einmal zu suchen und zu finden hat) wegklicken muss?
  • …bei einigen qualitätsjournalistischen Produkten – wie etwa „Focus Online“ – eine Aufforderung, klicki klicki auf das Facebook-Däumchen zu machen, um den Text weiterlesen zu können?

Und wenn man, weil man derartige Überrumpelungen nicht gern erträgt, mit einem geeigneten Browser-Addon dafür sorgt, dass der dafür verantwortliche Javascript-Code nicht mehr ausgeführt wird, gibt es dann häufig entweder…

  • …eine leere weiße Seite, oder
  • …eine Aufforderung, dass man Javascript zwingend benötigt und deshalb aktivieren soll, um diese tollen Inhalte zu lesen.

Das alles nur, damit man auch ja in den „Genuss“ dieser offen leserverachtenden und gleichermaßen vorsätzlich entnervenden wie technikmissbräuchlichen Überrumpelung kommt. Eben die Scheiße, die sich Journalisten, Presseverleger und vergleichbar geistig verrottete Contentvermarkter so ausdenken, um das unseriöse Geschäftsmodell der „Finanzierung“ durch Vergällung von erwünschten Inhalten mit völlig unerwünschter Reklame aufrechterhalten zu können.

Nun, es gibt eine gute Nachricht: Google beabsichtigt, so etwas in Zukunft durch Herunterstufung in den Suchergebnissen zu behandeln, so dass derartig spamverwandter Webmüll der Journalisten und Contentvermarkter hoffentlich schon bald kaum noch über Google gefunden werden wird.

So wenig ich Google im Allgemeinen mag: Ich wünsche Google dennoch von ganzem Herzen einen großen und schnellen Erfolg bei diesen Plänen. 😉

¹S/M ist meine Abk. für „social media“. Aus Gründen.

Amazon Konto Verifikation!

Freitag, 5. Juni 2015

Diese Mail fällt nicht nur wegen ihres doofen Betreffs auf, sondern auch dadurch, dass 461 Mailadressen als Empfänger eingetragen sind, was natürlich den gewünschten Eindruck von „Amazon schreibt mich an, weils ein Problem mit meinem Account gibt“ zerstört. Die tiefere Bedeutung der Header-Zeile BCC muss sich der Spammer noch einmal von einem Achtjährigen erklären lassen.

Der Text ist dann auch genau so doof, wie es diese Mail schon auf dem ersten Blick verspricht:

Hallo lieber Amazon User ,
Sie müssen eine Verifikation Durchführen , weil leider alle Amazon
Daten Verloren Gingen.
Wir bitten sie auf der Angegebenen Webseite ( Siehe Unten ) , Den Link
zu öffnen , und sich dort einzuloggen und ihre daten erneut ein zu
geben.

Der Link zur Verifikation:
http://amzn.co.at/index/?[ID entfernt]

Mit Freundlichen Grüßen,
Ihr Amazon CO Team.

So so, leider sind alle Amazon-Daten verlorengegangen… 😀

Gut, dass darauf niemand reinfallen kann, weil es so krachend dumm ist!

Die verlinkte Website „verzichtet“ auf normales HTML und erzeugt ihre „Inhalte“ aus mit Javascript entschlüsselten, zuvor verschlüsselten Daten. 😯

Das ist natürlich ein bisschen… verdächtig, denn ein Phisher brauchte sich niemals solche Mühe zu geben. Mit an Sicherheit grenzender Wahrscheinlichkeit handelt es sich hier um einen Versuch, dem Besucher Schadsoftware zu installieren. Ich bin gerade viel zu unmotiviert, die vorsätzlich kryptischen Methoden zu analysieren, um nachzuschauen, was genau getan wird und ob es am Ende wenigstens zum Schein noch eine Phishing-Seite gibt und begnüge mich mit der Einsicht, dass dumm formulierte und technisch mies gemachte Phishing-Spams zurzeit manchmal auf perfide ausgearbeitete und wahrscheinlich hochinfektiöse Seiten führen. Oder: Auch den scheinbar dümmsten Spammer darf man nie unterschätzen.

Und deshalb klickt man niemals, niemals, niemals in eine Spam – und erlaubt auch generell nicht jeder dahergelaufenen Website die Ausführung von Javascript-Code im Browser. Ein Browser-Addon wie NoScript ist eine unverzichtbare Sicherheitssoftware, die derartige Angriffe an der Wurzel verhindert, selbst, wenn die Schadsoftware so aktuell sein sollte, dass der Virenscanner keine Chance hätte.

Diese Spam aus dem Beklopptenbrutschrank des Internet ist ein Zustecksel meines Lesers E.T.

Elias Schwerdtfeger new incoming video mail outbreaks

Donnerstag, 4. Juni 2015

Screenshot der Spam mit dem Text 'new incoming video mail', einem nicht funktionierendem Link 'Description', ein paar völlig sinnfreien technischen Angaben und einem großen, grünen Button 'Play' von '© 2015 All Rights Reserved'

Oh, eine Videomail über das Videomailsystem der bekannten Firma „All Rights Reserved“. Sehr überzeugend! 😀

Wer bei dieser Spam auf „Play“ klickt, hat verloren.

Der Link auf dem „Play-Button“ führt zunächst auf eine nicht vorhandene Unterseite eines offenbar von Crackern übernommenen russischsprachigen Blogs, dort gibt es – offenbar konnten die Cracker den Webserver konfigurieren und eine eigene Fehlerseite hinterlegen – eine vollständig sinnlose Seite (so etwas habe ich schon öfter gesehen), deren einziger Zweck eine Javascript-Weiterleitung auf eine andere Seite ist. Die Spammer haben sich übrigens die Mühe gemacht, jedesmal anderes Javascript und andere „Inhalte“ auszuliefern, um eine automatische Erkennung ihrer kriminellen Sabotageversuche zu unterbinden.

Nach ein paar weiteren Weiterleitungen gibt es einen… ähm… „kostenlosen Sicherheitscheck“ des verwendeten Browsers und aller seiner Addons von Schwerkriminellen, die auf neuestem technischen Stand sind. Wenn dabei irgendeine ausbeutbare Lücke gefunden wurde, dann steht hinterher ein Computer anderer Leute auf dem Schreibtisch.

Wer auf einen derartigen Link geklickt hat, sollte sich unbedingt auf einem sauberen Computer das bootfähige Image des Antivirus-Unternehmens seiner Wahl herunterladen, damit eine DVD brennen oder einen bootfähigen Speicherstick machen, den Computer damit hochfahren und das System überprüfen, ohne das überprüfte Betriebssystem selbst zu verwenden. Am sichersten ist es, den möglicherweise infizierten Rechner ein, zwei Tage lang gar nicht zu benutzen, damit eventuell installierte Schadsoftware gegen aktualisierte Signaturen geprüft werden und erkannt werden kann.

Wichtiger Hinweis zum Selbstschutz: Ein effizienter und im Gegensatz zu Antivirus-Schlangenölen – die ja immer nur gegen bereits bekannte Schadsoftware helfen – hochwirksamer Schutz gegen derartige Machenschaften ist es, wenn man nicht jeder Website das Ausführen von Javascript gestattet. Das Browser-Addon NoScript ist eine unverzichtbare elementare Sicherheitssoftware, die jeder Webnutzer installieren sollte. Es ermöglicht in bequemer Weise, Javascript nur für diejenigen Websites freizuschalten, denen man vertraut. Eine derartige Überrumpelung wird damit an der Wurzel unterbunden, und nicht erst, wenn Schadcode auf dem Rechner gelangt ist – und wenn derartige „Benachrichtigungen“ einmal besser gemacht werden, kann diese Art von Spam sehr gefährlich sein.

Close

⚠️ Kein Adblocker erkannt 🛑

Bitte installieren Sie so schnell wie möglich einen Adblocker für ihren Webbrowser! Sie schützen damit die Ihren Computer vor Schadsoftware, die über Malvertising verteilt wird, und Sie schützen sich selbst vor Ausspähung und intransparentem Datenhandel durch halbseiden bis grenzkriminell vorgehende Wirtschaftsunternehmen. Das ist Grund genug, einen Adblocker zu verwenden. Aber gleichzeitig machen Sie auch Ihre gesamte Interneterfahrung schöner, erfreulicher und schneller. Ich empfehle uBlock Origin.