Wichtiger Hinweis vorab! Es handelt sich nicht um Rechnungen. Die Dateianhänge sind gefährliche, aktuelle Schadsoftware. Wer unter Microsoft Windows in die ZIP-Archive hineinschaut und diese Datei doppelklickt, hat verloren. So genannte „Antivirusprogramme“ werden in vielen Fällen keinen Schutz bieten.
An Stelle von N. N. stand der vollständige Name des Empfängers, also Vorname und Nachname.
Sehr geehrter Kunde N. N. [auch hier wieder der Name],
im heutigen Geschäftsleben hat man „viel um die Ohren“ und muss an eine Menge Dinge gleichzeitig denken. Dass einem dabei mal etwas entgehen kann ist ganz natürlich. Gerade konnte unsere Buchhaltung bezüglich der beigefügten Rechnung noch keinen Zahlungseingang feststellen.
Wow, nicht nur, dass die Spammer eine namentliche Ansprache hinbekommen, sie können inzwischen auch vernünftig formulieren. Ich halte eine gut formulierte Spam mit persönlicher Ansprache für sehr gefährlich. Die kleine Schwäche mit dem Wort „Kunde“ vorm Namen wird vermutlich in kommenden Spamwellen behoben sein.
Datum: 13.01.2013 bestätigt von N. N. [im Original der Name]
Offene Rechnung: 645,79 Euro
Aktikelnummer: 7905615507
Gebühren Ihrer Mahnung: 7,00 Euro
Den hübschen Eindruck trübt es ein bisschen, dass hier eine „Rechnung“ von fast 650 Euro behauptet wird, ohne dass in kundenverständlicher Weise klargemacht wird, welcher damit zu bezahlende Artikel sich denn hinter der lustigen Ziffernfolge verbirgt. So würde niemand schreiben, der seine Kunden nicht gerade verachtet.
Wir bitte [sic!] Sie den gesammten Betrag unter Angaben Ihrer Bestellnummer [sic!] bis zum 06.03.2013 auf das im Vertrag angegebene Konto umgehen [sic!] zu überweisen [sic! Punkt fehlt!] Sofern Sie den vorgenannten [sic!] Termin nicht einhalten, werden wir Ihnen weitere Zinsen [sic!] und Mahnkosten berechnen.
Hier zeigen sich erste Schwächen im Text. Offenbar haben die Spammer den ersten Absatz aus einer richtigen Mahnung entnommen, aber für diesen Teil waren sie ein bisschen auf sich selbst gestellt und klingen auch prompt weniger überzeugend. Der Stilbruch ist kaum zu übersehen.
Sollte der angemahnte Betrag nicht fristgerecht bei uns gebucht werden, werden wir ohne weitere Vorwarnung unseren Rechtsanwalt mit der Klageerhebung beauftragen. [sic!]
Und was ein gerichtliches Mahnverfahren ist, scheint dieser ganz tolle Kaufmann aus der Phantasie eines Spammers auch nicht zu wissen, sonst hätte er davon gesprochen, dass er die Zustellung eines gerichtlichen Mahnbescheides veranlassen würde. Was dem Spammer hier entgegenkommt, ist allerdings, dass die meisten Menschen in Deutschland trotz eines ganzen Jahrzehntes der Beschulung keine juristischen Kenntnisse haben und deshalb diese Schwäche ebenfalls nicht bemerken können – und möglicherweise von diffuser Angst getrieben das tun werden, was der Spammer von ihnen will.
Und das ist in diesem Exemplar der Spam noch nicht einmal explizit erwähnt. Der Mail hängt ein ZIP-Archiv an, in dem sich wie üblich eine ausführbare Datei für Microsoft Windows befindet, und keineswegs irgendeine Rechnung. Wer diese scheinbare Rechnung unter dem Betriebssystem Microsoft Windows „öffnet“, startet damit Software, die ihm von Kriminellen zugestellt wurde und hat sofort einen Computer anderer Leute auf seinem Tisch stehen – und die Kriminellen werden diesen Rechner zu nutzen wissen.
Mit freundlichen Grüßen www.conrad.de Ida Beck
Nein, das ist nicht freundlich, kommt nicht von Conrad und der Name stimmt natürlich auch nicht.
Diese Mail gibt es in verschiedenen leicht abgewandelten Formulierungen, aber immer mit namentlicher Anrede (im Zitat der folgenden Mail ebenfalls unkenntlich gemacht):
Sehr geehrter Kunde N. N,,
jedem kann es einmal passieren, dass man eine Rechnung übersieht. Bedauerlicherweise konnte unsere Buchhaltung bezüglich der beigefügten Rechnung noch keinen Zahlungseingang finden.
Bestelldatum: 28.01.2013 bestätigt von N. N.
Offene Rechnung: 378,79 Euro
Aktikelnummer: 41746513
Kosten dieser Mahnung: 2,00 Euro
Wir bitte [sic!] Sie diesen Betrag unter Angaben Ihrer Bestellnummer [sic!] bis zum 27.022013 [sic!] auf das im Vertrag angegebene Konto umgehen [sic!] zu überweisen. Falls Sie den genannten Termin nicht einhalten, werden wir Ihnen weitere Zinsen [sic!] und Mahnkosten berechnen müssen.
Sollte der angemahnte Betrag nicht fristgerecht bei uns eingehen, werden wir ohne weitere Ankündigung unseren Rechtsanwalt mit der Klageerhebung beauftragen. Wir würden diesen Schritt bedauern und hoffen aus diesem Grund auf Ihre Einsicht.
Mit bestem Dank für Ihr Vertrauen in pixum Nora Albrecht
Im Moment häufen sich Hinweise von Lesern von Unser täglich Spam auf derartige Mails mit persönlicher Ansprache. (Ich habe noch weitere Beispiele vorliegen. Es sind allesamt Leserzuschriften. Ich selbst bin sehr sparsam mit meinen Daten, und das scheint ein hinreichender Schutz zu sein. Ich bitte ferner mir persönlich bekannte Menschen grundsätzlich darum, niemals meinen Namen zusammen mit meiner Mailadresse auf so genannten „smart phones“ vorzuhalten, weil auch dort über trojanische Apps Adressmaterial für die Spam gesammelt wird – und ausgerechnet Facebook mit seiner überaus beliebten „App“ ist einer der übelsten Spammer.) In einer der hier zitierten Mails wurde ein korrekter Vorname angegeben, der im Internet nicht verwendet wurde. Es ist deshalb davon auszugehen, dass die Kriminellen große Mengen Daten eingekauft oder abgegriffen haben. Vielleicht haben sie aber auch einfach nur trojanische Apps für Wischofone gebaut, kleine Spielchen und anderes sinnfreies Zeugs, das im Hintergrund ganze Adressbücher irgendwo ins Internet funkt. Wenn ich heute Krimineller wäre, würde ich mir jedenfalls auf diesem Weg mein Datenmaterial beschaffen – denn in den so genannten „smart phones“ (for less smart people) kombiniert sich die Security-Blauäugigkeit der Neunziger Jahre mit der gereiften Internet-Kriminalität der Zehner Jahre. Unfassbar, was sich Anwender dieser persönlichen Computer, die oft bemerkenswert weit in die Intimsphäre hineinragende Daten verarbeiten, alles völlig unreflektiert bieten lassen, wenn sie nur ein bisschen Spielkram in der Tasche haben.
In den kommenden Tagen wird eine Flut personalisierter und zumindest teilweise überzeugend formulierter Spam über die Menschen in Deutschen einbrechen. Ob diese Spam immer „nur“ zum Transport von Schadsoftware dienen wird, oder ob es auch zu den üblichen Formen des Betruges (vor allem Phishing, aber vielleicht auch personalisierte Trickbetrügereien mit dem gefälschten Absender von Freunden) kommen wird, ist noch offen. Tatsächlich ist eine trefflich formulierte Spam mit persönlicher Ansprache viel überzeugender als das übliche „Ich weiß jetzt zwar nicht einmal, wie du heißst, aber du bist mein Kunde und nun klick mal, aber ganz dringend“, das die Spam bislang stark geprägt hat und das auch für naivere Zeitgenossen leicht als Spam zu erkennen war.
Meinen Tipps zur Vorbeugung, die ich kürzlich in dieser Sache gegeben habe, kann ich nichts mehr hinzufügen – außer der eindringlichen Wiederholung der Empfehlung, eine E-Mail-Adresse, über die man Spam mit namentlicher Ansprache erhält, so schnell wie möglich stillzulegen und durch eine andere E-Mail-Adresse zu ersetzen. Der damit verbundene Zeitaufwand ist wesentlich geringer als der zeitliche und nervliche Aufwand, den man teilweise für viele Monate haben kann, wenn man nur ein einziges Mal auf eine gut gemachte Spam hereingefallen ist und in der Folge einen Rechner anderer Leute auf dem Tisch stehen hat.
Ganz allgemein gilt: Niemals in Panik versetzen lassen, wenn einem eine alarmierende Mail zugestellt wird! Richtige Mahnungen und Rechnungen kommen beinahe immer mit der Sackpost. Und richtige geschäftliche Mails enthalten beinahe immer eine Telefonnummer für eine Rückfrage (das werden die Spammer in einer Verfeinerung der Masche auch noch machen, und zwar mit kostenpflichtigen Telefonnummern). Niemand muss Rechnungen für Waren bezahlen, die er nicht erhalten hat. Niemand muss solche Rechnungen auch nur beachten. Schon gar nicht, wenn sie in Form einer nicht digital signierten und damit beliebig fälschbaren E-Mail kommen, die in alarmierendem Ton und unter Nennung erheblicher Geldbeträge um Aufmerksamkeit buhlt.
Wer sich in Panik versetzen lässt, neigt zum unvorsichtigen Klick und schenkt der organisierten Internet-Kriminalität damit leicht seinen Rechner und sein Internet – und wird in vielen Fällen ein paar Wochen später mit der Polizei zu tun bekommen, die selbstverständlich den Anschlussinhaber ermittelt, über dessen Internetzugang Straftaten begangen werden. (Zum Beispiel werden derartige Spams über feindselig übernommene Privatrechner versendet.) Dass über Trojaner selbstverständlich Passwörter mitgelesen werden, dass alle greifbaren Daten abgegriffen und an Kriminelle übermittelt werden und dass eventuelles Online-Banking manipuliert wird, kommt zu diesem Ärger hinzu.
Wer sich nicht in Panik versetzen lässt, denkt nach, bevor er etwas tut – und stellt zudem fest, dass Dateinamensendungen wie .pdf.exe
in einem E-Mail-Anhang ein ganz schlechtes Zeichen sind. Eine Haltung, sich niemals von einer E-Mail in Panik versetzen zu lassen, ist ein besserer Schutz vor kriminellen Attacken als jedes Schlangenöl einer so genannten „Antivirensoftware“.
Von der „guten“ alten Zeit, in der ein Spammer sein Opfer nicht ansprechen konnte, müssen wir uns jedenfalls verabschieden. Heute weiß der Spammer in vielen Fällen zumindest, wie sein Opfer heißt – und bleibt selbst unerkannt, verschanzt sich hinter gefälschten Absendern und missbrauchten (und dadurch in den kriminellen Dreck gezogenen) Firmierungen. Diese Entwicklung ist übrigens ein guter Anlass, E-Mail endlich grundsätzlich digital zu signieren, um den Absender und den unveränderten Inhalt jenseits jeden vernünftigen Zweifels sicherzustellen – und überall darauf hinzuwirken, dass das in geschäftlichen Dingen ein Standard wird. Wer Geschäfte im Internet betreibt und sich verweigert, digital signierte E-Mail zu verwenden, ist mitverantwortlich für den Erfolg der Internet-Kriminalität und die Leichtigkeit, mit der Betrugsmaschen durchgeführt werden können. Diese einfache Wahrheit muss immer und immer wieder thematisiert und kommuniziert werden! Digitale Signatur ist keine obskure Raketentechnologie, sondern ein Verfahren, das seit über einem Jahrzehnt jedem Menschen kostenlos und in benutzerfreundlichen Schnittstellen zur Verfügung steht. Die Alternative zur digitalen Signatur ist ein Kommunikationsmedium E-Mail, das beliebige und unüberprüfbare Manipulationen durch Kriminelle ermöglicht. Und das ist angesichts der Internet-Kriminalität keine Alternative.