Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.


Schlagwortarchiv „Lieber Kunde“

96372105 42948 87msw2

Samstag, 11. Juni 2022

Was mag dieser kryptische Betreff nur bedeuten? 🤔️

Von: DKB_Supp <test@BESHMON.COM>
An: gammelfleisch@tamagothi.de

Keine weiteren Fragen! 🤭️

Nein, die DKB ist das nicht. Die schreibt ganz sicher nicht an irgendwelche Mailadressen, die mit einem Harvester auf Websites eingesammelt wurden. Aber vermutlich würde die DKB in ihren Betreff auch etwas sinnvolleres als eine aus Empfängersicht idiotische Ziffern- und Buchstabenfolge schreiben. 🔍️

Lieber Kunde,

Genau mein Name! 👏️

DKB Services Informieren Ihr Konto und Ihre DKB-Karte wurden gesperrt, für das Nichterhalten der zuvor von uns angeforderten Daten.

Spätestens hier sollte wirklich jeder Mensch bemerken, dass es eine Phishing-Spam ist. Warum? Weil das Deutsch einfach nur zum Kringeln ist, und weil eine echte Bank immer die Kontonummer dazuschreiben würde, die gemeint ist. Es sind gar nicht so wenige Bankkunden, die mehrere Konten haben, zum Beispiel, um Einkünfte aus selbstständiger Tätigkeit klar von ihrem persönlichen Geldumsatz zu trennen. Diese Finanzämter können aber auch ganz schön garstig werden, wenn sie Belege unübersichtlich finden. Von daher ist jede E-Mail, die angeblich von einer Bank kommt und von schweren Problemen mit dem Konto spricht, aber die Kontonummer nicht nennt, eine Phishing-Spam. 💡️

Da hilft es dann auch nicht…

Freischaltcode: 7GT4F4R8D4

…wenn im Betreff und in der Spam lustige Löffel Buchstabensuppe abgeschrieben wurden, die nichts mit dem Konto zu tun haben. 🤡️

Jetzt bestätigen

Wer da klickt, lasse alle Hoffnung fahren! Natürlich geht der Link nicht zur DKB, und natürlich ist er auch nicht direkt gesetzt:

$ location-cascade http://5c9bruzz7y7u59.igm.co.id/bWFyZ3JldEBob3JyaWJpbGUtZGljdHUuZGU=
     1	https://vertigouniversal.com/dkb
     2	https://vertigouniversal.com/dkb/
     3	banking?session=geschaeftskunden/branchen/wohnungswirtschaft/wohnwirtschaftliche_bilanzanalyse/
$ surbl vertigouniversal.com
vertigouniversal.com	okay
$ _

Wer sich darauf verlässt, durch Security-Schlangenöl oder Browser-Addons vor dem Besuch von Phishing-Sites geschützt zu sein, hat hier verloren. Die Domain ist zurzeit noch nicht als Betrüger-Website gelistet. Das wird sich erst in den nächsten Stunden ändern. 😐️

Aber das macht nichts, denn es gibt einen hundertprozentigen Schutz gegen Phishing, die vermutlich (nach dem Vorschussbetrug) zweitälteste Trickbetrugsform im Internet: Niemals in eine E-Mail klicken! Wer sich für die Website seiner Bank (und andere, vergleichbar wichtige und für Verbrecher attraktive Websites) ein Lesezeichen im Webbrowser anlegt und diese Website nur über dieses Lesezeichen besucht, kann keinen giftigen Link in einer E-Mail untergeschoben bekommen. Und damit bricht diese Betrugsmöglichkeit in sich zusammen. 👍️

In diesem Fall hätte man einfach die Website der DKB über das Browser-Lesezeichen aufgerufen, sich dort ganz normal angemeldet und gesehen, dass das in der Phishing-Spam behauptete Problem gar nicht existiert. Und schon wurde einer dieser fiesen „Cyberangriffe“ abgewehrt (und man hat sich vermutlich eine Menge Ärger erspart). So einfach geht das! 🛡️

Also macht das bitte! Es kostet nichts, ist cool und sicher! 😎️

Wir erinnern Sie daran, dass Sie mit Ihrer Karte keine Zahlungen mehr leisten können wenn diese Überprüfung nicht innerhalb von 48 Stunden nach Erhalt erfolgt

Wenn eine Bank so etwas wie „Klicken sie mal in die E-Mail, weil wir uns einen tollen Grund dafür ausgedacht haben, und wenn sie das nicht tun, geben wir ihnen einfach ihr Geld nicht mehr“ schreibt, nennt man das übrigens Nötigung. Deshalb schreiben Banken das auch nicht so, selbst dann nicht, wenn sie gern würden… 😉️

Solche hetzenden Phrasen gibt es nur in Phishing-Spam. 💩️

Your Copy Invoice SGNR000087999 with the Requested Paperwork

Donnerstag, 23. Juli 2020

🚨WARNUNG:🚨 Der Anhang ist Schadsoftware für Microsoft Windows. Nicht öffnen!

Es sind mal wieder diverse Spams mit Schadsoftware-Anhang unterwegs, und alle sind sie nicht besonders gut. Ich habe nur englischsprachige, gehe aber davon aus, dass es den Müll auch auf Deutsch gibt. Dies ist nur ein Beispiel aus meinem heutigen Mülleingang. Es ist leider eine Flut. 🌊

Von: DHL EXPRESS <sales@tigergrip.cf>

Oh, DHL benutzt jetzt eine Domain mit Tigerkrallen? 😀

Invoice
SGNR000087999

Inv. Date
July 23, 2020

Total
₫ 1268025.00

Aber ich habe gar keine Đồng. Und ich habe auch nichts bestellt, wofür ich eine Rechnung bekommen könnte. 📦

THIS IS AN AUTOMATED MESSAGE, DO NOT REPLY

Dies ist eine Spam, einfach löschen und gut! 🚮

Dear Customer,

Genau mein Name! 👏

Please find your invoice and paperwork attachment dated 23 Jul 2020 for shipments and services supplied by DHL Express posted on the MyBill Website.

Oh, da ist ja ein Anhang. So eine feine Datei! Über eine angebliche DHL-Mail zugestellt, deren Absender nicht einmal nach DHL aussieht. Das ist kein zuverlässiges Merkmal, denn der Absender lässt sich beliebig fälschen. Ich will nur zeigen, wie schlecht diese Spams gemacht sind. 🕵️

Und diesmal ist die Datei gar nicht gezippt, sondern mit gzip komprimiert. Das habe ich auch nicht jeden Tag. Ob der Müll so besser durch einige Spamfilter kommt als mit den gängigen Archivformaten? Ich habe keine Ahnung. Aber ich weiß, dass die Kriminellen davon leben, dass ihre Spams ankommen, und dass das der einzige Grund ist, warum sie bestimmte Strategien verfolgen. Deshalb gehe ich davon aus, dass es ein einigermaßen häufig eingesetztes Security-Produkt für E-Mail gibt, das nicht mit der gzip-Kompression einer einzelnen Datei klarkommt. 🤦

Mal anschauen, was für ein Gift es heute wieder ist:

$ gzip -l Invoice\ SGNR000087999.gz 
         compressed        uncompressed  ratio uncompressed_name
             340214              802816  57.6% Invoice SGNR000087999
$ gzip -d Invoice\ SGNR000087999.gz 
$ file Invoice\ SGNR000087999 
Invoice SGNR000087999: PE32 executable (GUI) Intel 80386 Mono/.Net assembly, for MS Windows
$ _

Aha, es handelt sich nicht um eine Rechnung in irgendeinem Dokumentformat, sondern um eine ausführbare Datei für Microsoft Windows. Diese wurde an eine Mail gehängt und irreführend als Rechnung bezeichnet. Wer unter Microsoft Windows klicki-klicki den Anhang klickt, führt ein Programm von Verbrechern aus. Hinterher steht ein Computer anderer Leute auf den Tisch. 🖱️🧟

Zurzeit wird die klare Schadsoftware nur von rd. einem Viertel der gängigen so genannten Antivirus-Programme als Schadsoftware erkannt. Die Erkennung versagt gerade bei den populärsten Produkten. Wer sich auf den Schutz durch so genannte Antivirus-Programme verlassen hat, ist also meist verlassen und hat den Schaden. 🛡️🤕

Wer aber bei der Benutzung eines anonymisierenden, abstrakten technischen Mediums vor jedem Klick nachdenkt und E-Mail-Anhänge grundsätzlich nur mit äußerstem Misstrauen behandelt, hat sich das Geld für Schlangenöl-Produkte gespart und dennoch gewonnen. 🏆

Leider verlassen sich die allermeisten Menschen, Unternehmen und Verwaltungen eher auf techno-quacksalberisches Schlangenöl, statt auf vernünftige Richtlinien im Umgang mit E-Mail. Und deshalb ist Dettelbach überall: gestern, heute, morgen und in der Ewigkeit der Dummheit. 🙁

Nein, wenn das Hirn fehlt, hilft auch keine Cyberwehr, wo das Schlangenöl versagt. Und anlasslose polizeiliche Dauerüberwachung der nicht-kriminellen Bevölkerung in ihrer gesamten Internetnutzung hilft auch nicht. 🤺

Wenn das Hirn fehlt, hilft nur Hirn. Es ist durch nichts zu ersetzen. 🧠

For all invoice content related queries, please contact vnexp.query@dhl.com.

Ja ja, schon klar: Bei Fragen an dieses DHL wenden, das gar nicht der Absender dieser Mail ist. 🤦

We look forward to receiving your payment in due course, and within the agreed credit terms as stated on your invoice.

In Wirklichkeit hat der Absender nur ein Interesse: Möglichst viele Computer zu übernehmen und die neueste kriminelle Brut von Schadsoftware darauf zu installieren. Zurzeit ist Emotet ja wieder aktiv geworden. Mal schauen, wie groß der Schaden bei der nächsten Trojanerwelle wird. 🔮

We would like to thank you for using the services of DHL Express.

Wenn ihr euch bei mir bedanken wollt, dann bedankt euch doch einfach, statt mir pseudohöflich zu sagen, dass ihr euch bedanken wollt. Obwohl ich DHL nicht nutze. Ach, ihr bedankt euch immer nur für das Verständnis, das ich gar nicht habe? Na gut, vor meinem Arsch ist auch kein Gitter. 🖕

Wie ich diese ganzen pseudohöflichen Phrasen in ihrer Lächerlichkeit hasse und ihre Nutzer verachte! 😧

With kind regards,

The DHL MyBill Team

Gibt es bei DHL wirklich eine Abteilung mit dem albernen Namen „MyBill Team“? Ich traue Werbern, die viel mehr Englisch sprechen als sie Deutsch können, ja inzwischen jede dumme Sprachkrankheit zu, und leider werden immer häufiger ganze Unternehmen von den hirnverkoksten Ideen solcher asozialen Idioten und professionellen Lügner geprägt, die einen von „Alleinstellungsmerkmalen“ faseln und Clownskostüme verteilen. 🤡

Please do not reply to this email; it is used to send automated emails and is not monitored for responses. If you have any questions, please contact DHL Billing Support.

Allein so ein Satz „bitte nicht auf diese Mail antworten“ ist Grund genug, eine E-Mail ungelesen zu löschen, und zwar immer und auf jeden Fall. 🗑️

Denn da steht: Wir fälschen die Absender unserer E-Mails wie ein schmieriger krimineller Spammer, Antworten auf die Mail ist sinnlos, bei Fragen suchen sie sich mal schön selbst in ihrer beschränkten Lebenszeit raus, wen sie ansprechen können, das ist nämlich ihr Problem. Wir wollen nur ihr Geld. Sonst wollen wir nichts mit ihnen zu tun haben. Wir verachten sie. 🤮

Ich weiß, dass solche Sprüche auch unter echten Mails stehen. Und ich finde es immer wieder unfassbar, wie offen Unternehmen inzwischen ihre Kunden verachten, als ob sie gar nicht mehr von ihren Kunden bezahlt würden. Vielleicht noch ein bisschen unfassbarer ists nur, dass solche Unternehmen trotzdem immer noch genug Kunden haben, um nicht an den Insolvenzverwalter übergeben zu werden. 🐑

Aber will ich mich in meinem Schwall mal ein bisschen bremsen: Dafür wurde wenigstens kein „geistiges Eigentum“ für die Inhalte einer Mail proklamiert. 😉

[For Your Eyes Only] – Casino no deposit welcome

Donnerstag, 23. April 2020

Kommt denn jeder Schwachsinn wieder? Ich habe die Casinospam gar nicht so richtig vermisst, seit die große Flut verebbte und nur noch wenige Exemplare ankamen.

Geil, diese Spam ist voll vertraulich und nur für meine Augen bestimmt! Und ich Depperchen dachte erstmal, es handele sich um eine dieser dummen Spams, die millionenfach rausgehen. 🙃

Natürlich wurde dieses geheime Geheimgeheimnis unverschlüsselt und offen wie eine Postkarte durch das Internet befördert – auf dem gesamten Transportweg lesbar und fälschbar. Aber den Menschen, die im Jahr 2020 auf die Casino-Spam irgendwelcher Affiliate-Lumpenkaufleute reinfallen sollen, kann man wohl jeden Bullshit erzählen. 🙁

20Gratis/NoDeposit

Das „Geld“, das euch in diesem Casino angezeigt wird, ist so wertlos, dass es sogar verschenkt werden kann. Ganz im Gegensatz zu den Banknoten eurer Zentralbank, die ihr den Betreibern dieses Spamcasinos geben sollt. 🎣💸

Dear Player,

Bin ich nicht. Und schon gar nicht bei Spammern.

We are thrilled to present to you great Offers to play :

• $20 No DepositBonus <<< ClaimBonus >>>

Oh, cool: Ihr seid so ein extrakrasses Spezialcasino, ihr habt euch für den Link nicht einmal eine Domain besorgt, so dass es direkt auf eine IP-Adresse geht. Und das ist nicht einmal eine Weiterleitung, da gibts richtig „Inhalte“. Die bestehen zwar nur aus eingebetteten Bildern und Javascript-Nervversuchen mit Popup-Fenstern, aber dafür sehen sie aus:

Screenshot der betrügerischen Casino-Site eines spammenden Affiliate-Lumpenkaufmannes mit dem angeblichen Casino-Namen Diamond Fiesta

Was die gestrichelte Linie auf der rechten Seite bedeutet? Nun, da war der Darstellungsbereich meines nicht im Vollbild laufenden Webbrowsers zuende, das Bild wurde also für mich dort abgeschnitten. Ich habe die Stelle mal markiert, damit man sieht, wie schäbig das aussieht. Das macht sich als Kontrast besonders gut, wenn im so kastrierten Bild dermaßen aufdringlich nach grafischer Exzellenz gestrebt wird. 😂

• 150% First DepositBonus

Aha, die auf einem Display sichtbaren virtuellen Jetons sind so wertlos, dass man einfach mehr Geld anzeigen kann, als vom Opf… ähm… Spieler eingezahlt wurde. Aber das wissen wir ja schon von dem großzügigen Spielgeld-Geschenk her.

• High Rollers ReloadBonuses

Also nach der Einzahlung von Banknoten einer Zentralbank immer kräftig Geld setzen, je mehr pro „Spiel“, desto besser. 💶🔥🎰

Natürlich ist es ein Internet-Casino, das in der BRD illegale Glücksspiele anbietet, und ferner ist dem Betreiber jede Manipulation des Spielgeschehens möglich, ohne dass ein Spieler auch nur eine Chance hätte, diese zu entdecken. Was kann dabei schon schiefgehen?

Here is what you need to do to Claim YourBonuses:

1. Visit Casino here< /a>

2. Register a new account

Lustig, diese dummen Spammer: Geben vor, ein Casino zu betreiben, und können in Wirklichkeit nicht mal unfallfreies HTML! 👍

3. Claim your BonusesBy using the ExclusiveBonusCode which can be found HERE

Oh, mit ganz exklusivem und geheimem Geheimcode für den Bonus! Der ist so exklusiv und geheim, dass er im offenen Web abgelegt wurde! 🤦

Wishing you the Best Of Luck!

Das ist nett von dir, Spammer. Ich wünsche dir beim nächsten Mal auch ein bisschen mehr Glück beim Denken. 🍀

This email was sent by OPT-IN Marketing LTD, 87 Brivibas St Limassol Cyprus +357-9987451287
If you suspect this email was sent without your consent, please Remove – All requests are processed automatically within 72 hr.

Diese Spam ging an eine Mailadresse, die ich niemals verwende. Diese Mailadresse ist für Menschen völlig unsichtbar. Ich habe sie nur für die Harvester der Spammer und ansonsten nicht wahrnehmbar in einer Website abgelegt. Das kann man natürlich, wenn man seine angebliche Klitsche „Opt-in-Marketing“ nennt, als ein Einverständnis betrachten. Aber ich betrachte dann das präsentierte Gesicht eines Spammers als ein klares Einverständnis damit, dass ich an dieser dummen, asozialen Drecksfresse mal einen Baseballschläger ausprobieren darf. 👿

Report Abuse

Schon wieder einer dieser Spammer, die nicht zu wissen scheinen, dass sie spammen. Das ist aber auch schwierig zu bemerken, dass man spammt, wenn man irgendwelche Mailadressen im Web einsammelt und mit unerwünschtem und höchst unseriösen Reklamemüll vollmacht. 💩

Ob dieser Spammer auch ein Gehirn hat, wird wohl erst der Pathologe im Rahmen einer Obduktion klären können. 🧠

You may unsubscribe at any time. Unsubscribe

Du kannst mich auch jederzeit am Arsche lecken, Spammer. 👅

E-ticket 2236-63

Montag, 27. Mai 2019

Ein Ticket? Wofür? Egal, das muss wichtig sein. Da steht eine Nummer dran.

View in browser

Für eine Surftour mit dem Browser?

Dear valued customer,

Ich bin kein Kunde. Ich habe einen Namen.

Thank you for booking with American Airlines.

Nein, das habe ich nicht getan. Ich habe es auch nicht vor. Vor einer langen Zeit, als es noch keine Gretas und Fridays for Future gab, habe ich durch Lesen und Benutzung des Gehirnes schon bemerkt, dass Fliegen so ziemlich die dreckigste und asozialste Form der Fortbewegung ist, die Menschen jemals erfunden haben – und beschlossen, in meinem gesamten Leben darauf zu verzichten, wenn es nicht gerade durch Notfälle erforderlich wird. Das habe ich bis jetzt durchgehalten. Ich bin dabei großer Freund der Eisenbahn geworden, aber nicht der Mondpreise des korrupten Ex-Staatsbetriebes „Deutsche Bahn“. Tatsächlich ist es regelmäßig billiger, zu fliegen, als mit dem Zug zu fahren. Und nein: Das sind nicht weitergegebene reale Kosten und das ist auch nicht die „unsichtbare Hand“ des Marktes, das ist durchgesetzter politischer Wille und vorsätzliche politische Gestaltung durch korrupte und asoziale Politiker und Politikerinnen. Es ist der Wille derjenigen Politiker, die euch permanent einen von Klimaschutz erzählen und die euch demnächst mit dieser Fuchtel auch eine CO2-Sondersteuer aufdrücken werden, die sich in jeden Preis hineinaddieren und vor allem Menschen mit wenig Geld überproportional belasten wird. Die gleichen Politiker werden allerdings auch weiterhin das Kerosin – im Gegensatz etwa zum Ottokraftstoff – unversteuert lassen. Politik ist auch so eine Art Spam, eine Spam für Hirn und Psyche, die jede Vernunft erstickt… 🙁

We have received your booking under reference 2236-63 and are reviewing your payment.

Wer auf den Link klickt, landet nicht etwa bei American Airlines, sondern bekommt eine „kostenlose Sicherheitsprüfung“ seines Browsers und seines Computers durch Kriminelle. Diese ist recht umfangreich. Wenn in diesem automatisierten Prozess, der ungefähr eine Sekunde dauert, eine Lücke gefunden wird, dann wird der Rechner von Kriminellen übernommen. Ansonsten geht es abschließend mit einer Weiterleitung zu einer Pimmelpillen-Apotheke der spammigen Marke „Canadian Pharmacy“, wo sich die Gangster sicherlich noch etwas Affiliate-Geld abholen werden – und einige Kunden schwere gesundheitliche Probleme.

Deshalb klickt man ja auch nicht in eine E-Mail, sondern ruft Websites direkt im Browser auf. Dieses bisschen Vorsicht schützt vor Phishing und Schadsoftware, und es kostet nicht einmal Geld. Seit der Version 0.95beta des Browsers Mosaic Netscape gibt es diese praktischen „Lesezeichen“ oder „Favoriten“ im Browser, die nur darauf warten, genutzt zu werden.

Yours sincerely,
American Airlines Support

Mit Winkewinke von einer Verbrecherbande!

You can also view the details of this request by following this link:
https://www.aa.com/?clientrequest=2236-63

Man kann gar viele Links klicken, und alle führen sie einen zur gleichen Adresse, die natürlich nichts mit aa (punkt) com zu tun hat. „Aber da steht doch AA“… ja, es ist eine HTML-formatierte Mail, und die Adresse, die da steht, ist ein Text, der mit einer anderen Adresse verlinkt ist. Ein dummer Trick aus dem Spam-Neolithikum, der inzwischen in jeder anständigen Mailsoftware zu einer Warnung führt, dass es sich um einen Phishing-Versuch handelt. So etwas wie das hier:

https://www.zdf.de/

Um zu sehen, wo der Link wirklich hinführt, muss man übrigens weder den Quelltext lesen noch auf den Link klicken. Es wird sichtbar, wenn man mit dem Mauszeiger über dem Link ist. Immer, wenn dort etwas anderes steht, als im Text falscher Eindruck erweckt wird, soll man an der Nase herumgeführt werden – was denkende und fühlende Menschen, deren Mitteilungen Wert, Kraft und Schönheit haben können, beinahe nie machen, verabscheuungswürdige Werber und Kriminelle hingegen recht regelmäßig.

Die Absender dieser Spam sind Verbrecher. Die leben vom Verbrechen. Die können da nicht „Dieser Link geht zu einer Schadsoftwareschleuder“ hinschreiben, das wäre schlecht fürs Geschäft. Also versuchen sie mit allen möglichen Tricks, einen anderen Eindruck zu erwecken. Auch mit derart dummen Tricks.

You are receiving travel offers for flights departing from as it is selected as your preferred country of departure. If you would like to change your country of departure or change the frequency of the emails you receive, you can modify your preferences. To stop receiving offers from American Airlines, click here to unsubscribe.

Und jetzt: Noch mehr Gelegenheiten, sich zur Schadsoftware zu klicken.

* For terms and conditions of our current promotion and special offers, visit the American Airlines website.

Und weil es so schön war: Noch mehr Gelegenheiten, sich die Pest auf den Rechner zu holen.

All rights reserved. © 2019 American Airlines.

Oh, gar kein Link mehr? 😀

Entf!

Confirm your DHL Parcel Receipt

Donnerstag, 1. November 2018

Aber ich erwarte gar kein Paket.

​Dear Customer,

Einen Namen hätte ich allerdings gehabt, und zwar einen anderen als „Lieber Kunde“. Der hätte eigentlich auch auf dem Adressaufkleber draufgestanden. Aber leider stand da nur meine Mailadresse. 😀

Tja, wenn sich die hirndörre Story der Verbrecher schon nach der ersten Zeile in Lachen auflöst.

Your parcel arrived at our local post few hours ago. Our courier was unable to deliver the parcel due to incorrect delivery details

To receive your parcel, Please confirm the attached shipping document

Oh, da ist ein Dokument angehängt? Aber diese Mail hat gar keinen Anhang.

Thanks & Best Regards

DHL Support Agent.

Ja, du darfst mich auch mal lecken.

1 attachments (total 53.9 KB)
https://www.dropbox.com/s/67dhb99z7v854a6/DHL_2018091808420890.z?dl=1
View Receipt
Download Receipt

Aha, Links zu Dropbox sind jetzt die neuen Mailanhänge? Schon klar. So kommt der kriminelle Dreck bestimmt besser durch Spamfilter mit Antivirusscan.

Im Gegesatz zur 54-Kilobyte-Angabe aus der Spam hat die Datei, die man sich unter diesem Link herunterladen kann…

$ ls -lh Parcel\ Receipt\ Confirmation.z 
-rw-rw-r-- 1 elias elias 871K Nov  1 15:32 'Parcel Receipt Confirmation.z'
$ file Parcel\ Receipt\ Confirmation.z 
Parcel Receipt Confirmation.z: RAR archive data, v4, os: Win32
$ unrar l Parcel\ Receipt\ Confirmation.z 

UNRAR 5.50 freeware      Copyright (c) 1993-2017 Alexander Roshal

Archive: Parcel Receipt Confirmation.z
Details: RAR 4

 Attributes      Size     Date    Time   Name
----------- ---------  ---------- -----  ----
    ..A....    951175  2018-10-31 04:58  Parcel Receipt Confirmation.scr
----------- ---------  ---------- -----  ----
               951175                    1

$ _

…eine ziemlich aufgeplusterte Größe von 871 KiB. Und dabei handelt es sich um ein RAR-Archiv, also bereits um komprimierte Daten. In diesem Archiv befindet sich ein Bildschirmschoner für Microsoft Windows, also ausführbarer Programmcode, der in einer Spam mit irreführenden Angaben zugestellt wurde und mit Doppelklick ausgeführt wird. Wer darauf einen Doppelklick macht, hat hinterher einen Computer anderer Leute auf dem Schreibtisch stehen und wird sich mindestens den heutigen Tag mit völlig unerwünschten Problemen verhageln.

Zurzeit wird dieser Trojaner für Microsoft Windows nur von rd. einem Viertel der Antivirus-Programme als Schadsoftware erkannt. Wer sich auf sein Schlangenöl verlässt, ist in vielen Fällen wieder einmal verlassen, denn es versagt leider recht regelmäßig bei aktueller Schadsoftware. Aber zum Glück war diese Spam so schlecht und plump, dass wohl niemand den Schadcode gestartet haben wird… hoffentlich… HOFFENTLICH!

Dettelbach ist überall. 🙁

Delivery status

Dienstag, 22. November 2016

Dear Client! Our delivery department could not accept your operation due to a problem with your current account.
In order to avoid falling into arrears and getting charged, please fill out the document in the attachment as soon as possible and send it to us.

Es ist eigentlich nicht der Rede wert, aber leider fallen doch immer wieder Menschen auf so etwas herein. Der Anhang ist wie üblich ein ZIP-Archiv…

$ unzip -l document_info.zip 
Archive:  document_info.zip
  Length      Date    Time    Name
---------  ---------- -----   ----
    12853  2016-11-22 11:00   0YI8F0V1R3BTB4SU140-WXGNRMR19QL1U5.js
---------                     -------
    12853                     1 file
$ _

…in dem nur eine einzige Datei enthalten ist, und zwar ein vorsätzlich unlesbar gecodetes Javascript-Programm, das im Windows Script Host ausgeführt wird, wenn man darauf klickt. Es handelt sich also um eine ausführbare Datei für Microsoft Windows, die mit einer E-Mail-Spam zugestellt wurde. Wer darauf klickt, hat hinterher einen Computer anderer Leute auf dem Schreibtisch stehen. Und diese anderen Leute sind Kriminelle.

Wie gewohnt bieten Antivirus-Programme in vielen Fällen keinen Schutz, da sie nur Schadsoftware erkennen können, die beim Hersteller der Antivirus-Programme schon bekannt ist.

Deshalb: Niemals einen Anhang einer E-Mail öffnen, wenn dieser nicht vorher und über einen anderen Kanal als E-Mail explizit verabredet wurde! Das Gehirn ist und bleibt der beste Virenschutz.

Shipping information

Samstag, 3. September 2016

Dear customer,

Ich bin aber „Liebe 13a9-32-04872 Kundennummer“ und nicht „Lieber Kunde“.

Our shipping service is sending the order form due to the request from your company.

Ich habe auch kein Unternehmen. Und nicht habe nichts angefordert. Und ich werde nichts bestellen.

Please fill the attached form with precise information.

Zielgruppe sind natürlich Mitarbeiter richtiger Unternehmen, die jetzt den Anhang aufmachen sollen, um einen Erpressungstrojaner im Unternehmensnetzwerk zu installieren. Ja, es handelt sich um Schadsoftware. Nein, es ist kein Dokument.

Very truly yours,
Adele Bernard

Du mich auch!

Ich sage es immer wieder, und ich muss es doch noch einmal wiederholen. E-Mail ist ein praktisches, aber auch gefährliches Medium. Es ermöglicht unter anderem Kriminellen, anderen Leuten Dateien zusammen mit einem Vorwand zuzustellen. Jeder Link in einer E-Mail und jede Anhang einer E-Mail ist als gefährlich zu betrachten. Immer. Auch, wenn das Antivirus-Schlangenöl keinen Alarm gibt. Niemals einen E-Mail-Anhang öffnen, der nicht vorher explizit und über einen anderen Kanal als E-Mail vereinbart wurde! Niemals auf eine E-Mail hereinfallen, weil der Absender zu passen scheint, denn der Absender einer E-Mail ist beliebig fälschbar! Immer telefonisch zurückfragen! Und am besten dafür Sorge tragen, dass nur noch digital signierte E-Mail verwendet wird, bei der man den Absender jenseits jedes vernünftigen Zweifels sicherstellen kann. Das kostet nicht einmal Geld. Und es ist nicht schwierig. Ich sage es immer wieder. Ich spreche es in die Flammen, ich spreche es in das Nichts, vor mir rollt eine Welt voll schreiender Dummheit vorbei, die Verbrecher jubeln auf einem Berg von Bitcoin… 🙁

Zum „Glück“ ist es diesmal ein etwas „älterer“ Vertreter, der das erste Mal am 1. September 2016 zu VirusTotal hochgeladen wurde; und deshalb wird die klare Schadsoftware inzwischen schon von der Hälfte der populären Antivirus-Schlangenöle erkannt. Es wäre ja auch echt jetzt mal und wirklich zu viel verlangt, wenn binnen zwei Tage jedes dieser Schlangenöle gegen die aktuell umlaufenden Seuchen funktionieren würde! 🙁

Wie üblich handelt es sich um ein angehängtes ZIP-Archiv…

$ unzip -l 18bbe011a687.zip 
Archive:  18bbe011a687.zip
  Length      Date    Time    Name
---------  ---------- -----   ----
    95801  2016-09-03 08:35   D1B2DB19_shipping_service.js
---------                     -------
    95801                     1 file
$ _

…in dem diesmal wieder ein Javascript-Programm für den Windows Script Host liegt. Dies ist eine ausführbare Datei für Microsoft Windows, die bei einem Doppelklick ausgeführt wird. Dieses Programm ist vorsätzlich unverständlich gecodet, um eine Analyse und eine Erkennung durch Antivirus-Software zu erschweren. Es ist klare Schadsoftware. Nach dem dummen Doppelklick steht ein Computer anderer Leute auf dem Schreibtisch. Wenn das in einem Unternehmen passiert, kann sich die Seuche auch im gesamten Unternehmensnetzwerk verbreiten. Weil ein einziger Mensch so naiv war, einen Mailanhang zu „öffnen“ und damit ein Programm von Verbrechern auszuführen.

Und deshalb öffnet man keine Dateien aus einer E-Mail, deren Zustellung nicht vorher über einen anderen Kanal als E-Mail abgesprochen wurde… ach! Ich spreche in die Flammen, ich spreche in das Nichts. 🙁

auftrag nr. 134536339

Montag, 29. August 2016

Vorab: Auf gar keinen Fall den Anhang aufmachen!

Ihre Kundennummer: 4091651

Ah, schön, ich habe eine Nummer.

Auftragsnummer: 134536339

Und das, was ich angeblich beauftragt habe, hat ebenfalls eine fröhliche Ziffernfolge…

Auftragssumme: 13 Eur

…und kostet angeblich Geld. Seltsam, dass ich gar nichts davon weiß.

Liebe Kundin, Lieber Kunde,

Was ich allerdings nicht habe, ist ein Name.

Danke für Ihre Bestellung.

Was mein Auftrag nicht hat, ist ein menschenlesbarer Text neben der schönen, aber für einen Menschen zunächst unverständlichen Ziffernfolge, dem man entnehmen könnte, um was zum hl. Henker es überhaupt geht.

Bitte schauen Sie in den PDF-Anhang für nähere Informationen (klicken Sie doppelt auf das PDF-Dokument).

Um das herauszubekommen, muss ich klick-klick einen Mailanhang öffnen. Damit ich das auch wirklich hinbekomme, sagt mir der Spammer auch noch, wie ich das mache.

Mit freundlichen Grüßen

Ihr Casando-Versand Team
Casando GmbH

Es gibt eine Unternehmung namens Casando, aber die ist nicht für diese gefährliche Spam verantwortlich. Ich möchte dort heute nicht am Telefon sitzen. Dem asozialen Loch von Spammer ist es aber egal, was er anrichtet. Das sieht man ja auch am Anhang…

Hinweis:
Zum Öffnen der PDF-Datei im Anhang benötigen Sie den Acrobat Reader.
Den Gratis-Download des Programms finden Sie unter http://get.adobe.com/de/reader.

…der mitnichten ein PDF-Dokument ist. Es handelt sich um ein ZIP-Archiv, in dem…

$ unzip -l dokument_id1784780765.zip 
Archive:  dokument_id1784780765.zip
  Length      Date    Time    Name
---------  ---------- -----   ----
      468  2016-08-24 06:05   dokument_id1784780765.pdf                                             .vbe
---------                     -------
      468                     1 file
$ _

…eine Datei liegt, deren Name auf .vbe endet. Um diese „Kleinigkeit“ vorm Empfänger zu verstecken, enthält der Name vor der richtigen Extension ganz viele Leerzeichen, so dass zusammen mit dem irreführenden Dateinamen der Eindruck entsteht, es handele sich um ein PDF. Die Extension .vbe steht nicht für ein Dokumentformat. Es ist ein ausführbares Programm für Microsoft Windows, das als Anhang einer irreführend formulierten Spam versendet wird und das seinen wirklichen Dateitypen mit einem Trick verbirgt. Das ist klare Schadsoftware. Wer darauf – ganz so, wie der kriminelle Spammer auffordert – doppelklickt, hat hinterher einen Computer anderer Leute auf dem Schreibtisch stehen. Viele populäre Antivirus-Programme scheitern zurzeit daran, diese Schadsoftware als solche zu erkennen, was bei derartigen Mails leider der Normalfall ist. Deshalb muss man immer sein Gehirn benutzen. Wer sich auf sein Antivirus-Schlangenöl verlässt, lebt sehr gefährlich.

Und deshalb öffnet man niemals einen Mailanhang, der nicht vorher und über einen anderen Kanal als E-Mail explizit verabredet wurde. Näheres zu diesem Thema habe ich hier schon etwas ausführlicher geschrieben. Ich bitte um Beachtung. Und um Verbreitung, denn es gibt immer noch zu viele Menschen, die auf derartige Spams reinfallen und hinterher bang Banknoten der Europäischen Zentralbank gegen Bitcoin eintauschen, um wieder an ihre Korrespondenz, ihre Fotos, ihre Musik, ihre Dokumente, ihre Filme und ihre Sozialkontakte zu kommen.

Übrigens: Wer regelmäßige Datensicherungen macht, braucht sein Geld nicht derartigen Verbrechern zu geben, wenn er doch mal überrumpelt wurde, sondern spielt einfach eine Datensicherung zurück. 😉