Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.


Schlagwortarchiv „Office“

Zu Händen des Begünstigten

Samstag, 25. Juni 2022

Oh, ein Qualitätsbetreff! 🏆️

Von: Mr. Tony Elumelu <heidrunheinrich13@gmail.com>
Antwort an: www.info.ubabankcard.TG@gmail.com
An: undisclosed-recipients: ;

Oh, Qualitätsheader! 🥇️

Der Absender ist gefälscht, die Antwortadresse wurde kostenlos und anonym bei GMail eingerichtet, dem dicksten Freund des Spammers und Betrügers und diese Spam geht an ganz viele Empfänger auf einmal. So etwas wird bei mir aussortiert und landet in der Schüssel für Sieger. 🚽️

Na, was erwarte ich jetzt? Richtig, ich erwarte eine lächerliche Mail zur Einleitung eines Vorschussbetruges. 😩️

Aber diese Mail hat gar keinen Text. 🕳️

Ich war schon dabei, diese Spam zu löschen, als ich bemerkte, dass sie ja noch einen Anhang hat:

$ ls -lh *.doc
-rw-rw-r-- 1 elias elias 29K Jun 25 13:46 'Zu Händen des Begünstigten.doc'
$ file Zu\ Händen\ des\ Begünstigten.doc | sed 's/,/\n/g' | sed 's/^[[:space:]]*//g'
Zu Händen des Begünstigten.doc: Composite Document File V2 Document
Little Endian
Os: Windows
Version 6.1
Code page: 1252
Author: BIG MAN
Template: Normal
Last Saved By: BIG MAN
Revision Number: 1
Name of Creating Application: Microsoft Office Word
Total Editing Time: 02:00
Create Time/Date: Fri Jun 24 15:28:00 2022
Last Saved Time/Date: Fri Jun 24 15:30:00 2022
Number of Pages: 1
Number of Words: 451
Number of Characters: 2577
Security: 0
$ _

Hui, 451 Wörter von „Big Man“. 😎️

Warum der seinen Text nicht in die Mail schreibt? Warum der lieber ein Office-Dokument anhängt, das hoffentlich kein vernunftbegabter Mensch mehr aufmacht, weil es einfach nur gefährlich ist? Warum der 451 Wörter in zwei Minuten raustippen kann, also im Schnitt 3,76 Wörter pro Sekunde? Wer ihm damals die Schaukel viel zu nahe an der Wand montiert hat? Alles Fragen, die ich auch nicht beantworten kann. 🤔️

⚠️ Ich kann nur warnen: Dettelbach ist überall! Niemals ein Office-Dokument öffnen, das unverlangt oder von einem Unbekannten mit einer E-Mail versendet wurde. Office-Dokumente für Microsoft Office können Makros enthalten. Das sind Programme, die der Autor des Dokumentes hinterlegt hat. Diese Programme können alles, was eine EXE kann. Sie können ausgeführt werden, wenn man das Dokument öffnet. Ein Großteil der heutigen Schadsoftware wird über Office-Makros verbreitet. Ich weiß auch nicht, wer den Entscheidern bei Microsoft ins Gehirn geschissen hat, als sie die Entscheidung getroffen haben, in jedem Dokument einen schön eingerichteten Platz vorzusehen, in dem ein Krimineller eine Bombe legen kann, aber sie haben diese Entscheidung getroffen, und wir müssen alle damit leben. Deshalb öffnet man derartige Dokumente nicht, wenn man sich nicht davon überzeugt hat (im Zweifelsfall durch ein Telefongespräch, denn der Absender einer nicht digital signierten E-Mail kann beliebig gefälscht sein), dass sie aus einer vertrauenswürdigen Quelle kommen. Und man öffnet sie erst recht nicht im Falle einer solchen klaren Spam. 💣️

Dann kann man auch nicht durch weitere Überrumpelungsversuche dazu gebracht werden, dass man die Sicherheitsfunktionen seines Microsoft Office abschaltet, falls sie überhaupt noch eingeschaltet sind.

Wer mir das nicht glauben will, wende sich doch an die Polizei. Aber keine unabgesprochen oder von Unbekannten zugesandten Office-Dateien im Mailanhang aufmachen! Das wäre dümmer, als die Polizei erlaubt. 👮️

Ich habe mir diesen Anhang etwas genauer angeschaut und habe ihn anschließend in LibreOffice geöffnet – und natürlich habe ich hier kein Windows, das Lieblingsbetrübssystem der Kriminellen. Das Dokument enthält keine Makros. Es wurde einfach nur ein Word-Dokument genommen, damit der Spammer sein Dokument schön formatieren konnte. 👨‍🎨️

Und weia, hat der Vorschussbetrüger dieses Dokument schön formatiert! 🎨️

Es sieht so aus:

Zu Händen des Begünstigten, Diese E-Mail-Benachrichtigung erhalten Sie direkt vom Team des Büros des Ausschusses für Betrugsbekämpfung der Afrikanischen Union (AU) Republik Togo in Zusammenarbeit mit der Dienststelle der Vereinten Nationen (UN) Lome-Togo, Besoldungsgruppe P-4 Anzahl der Post-AF / RP/RDBCPN/SHS/0001.in Bezug auf die umfangreiche Razzia (Verhaftungen) von Internetbetrügern. Aufgrund der hohen Anzahl von Beschwerden, die wir von den Vereinten Nationen (UN) auf der Ebene von Betrügern / Betrügern mit afrikanischer Nationalität erhalten haben. Alle Internet Service Provider hatten die Zunahme des E-Mail-Verkehrs von Afrika zu anderen Kontinenten festgestellt. -- Bei dieser Razzia wurden bisher dreihundertsechs (306) Betrüger festgenommen, und die Razzia dauert noch an. Wir haben die volle Summe von 857 Millionen Dollar wiedererlangt, sowohl in bar als auch in Vermögenswerten, die nachweislich von seinen Opfern stammen. Wir haben die E-Mail-Adressen von Hunderttausenden von Opfern aus ihren Adressbüchern gefunden. Zu diesem Zeitpunkt kontaktieren wir Sie. -- Wir haben mehrmals erfolglos versucht, Sie zu kontaktieren, daher senden wir Ihnen diese Erinnerung ein letztes Mal, wonach die Entschädigungskommission der Vereinten Nationen keine andere Wahl haben wird, als Ihre Entschädigungssumme in Höhe von 750.000,00 $ abzuschreiben und zu vermerken. als unbeansprucht, daher antworten Sie bitte umgehend auf dieses Schreiben, um Ihre Position in dieser Angelegenheit zu klären, bevor es zu spät ist, handeln Sie schnell und befolgen Sie die Anweisungen zu Ihrem eigenen Wohl. Weitere Einzelheiten erhalten Sie, wenn Sie sich an die United Bank of Africa Lome, Togo, wenden -- „Und heute teilen wir Ihnen mit, dass Ihr Geld von der UBA Bank auf eine VISA-Karte gutgeschrieben wurde und auch zur Auslieferung bereit ist. -- Kontaktieren Sie jetzt den Generaldirektor der Banco UBA -- Name: Mr. Tony Elumelu -- E-Mail-Adresse: www.info.ubabankcard.TG@gmail.com .. Seine Einzelheiten wurden von einem der Syndikate erwähnt, das als eines ihrer Opfer der Operationen festgenommen wurde. Sie werden hiermit gewarnt, diese Nachricht aus keinem Grund an sie zu übermitteln oder zu duplizieren, da unser US-Geheimdienstagent bereits die anderen Kriminellen verfolgt. -- Senden Sie die folgenden Informationen für die Lieferung Ihrer akkreditierten VISAGeldautomatenkarte an Ihre Adresse. -- Ihr vollständiger Name, Ihr Herkunftsland, Ihre Adresse, E-Mail-Adresse, Ihre Telefonnummer, Ihr Alter, Ihr Geschlecht, Ihr Beruf -- Hinweis: Bitte melden Sie sich daher noch heute umgehend bei mir, damit wir alle erforderlichen Prozesse und Protokolle für die Freigabe Ihres Entschädigungsfonds sofort einleiten können. -- Grüße, -- Teambüro des Ausschusses für Betrugsbekämpfung der Afrikanischen Union (AU) -- Zweigstelle Republik Togo

🤣️👏️👍️🤩️‼️

Für Spamgenießer aus der Gourmet-Klasse habe ich auch ein gefahrlos zu öffnendes PDF-Dokument, auf dem die ganze Genialität und Überzeugungskraft dieses Anhanges so sichtbar wird, als hätte man das Original geöffnet. 📜️

Ich muss mich jetzt erstmal von meinen Lachschmerzen erholen. 😉️

Aktuelle Informationen von SoftMaker

Donnerstag, 17. März 2022

Nein, frische Spam ist es! Und sonst gar nichts.

Von: SoftMaker <news@softmaker.com>
Antwort an: info@softmaker.com
An: Herr X <gammelfleisch@tamagothi.de>

Wirklich nett von euch, dass ihr an die Mailadresse aus dem Impressum mailt, die sogar der schnell zusammengefummelte Harvester eines fünfjährigen Nachwuchshackers auf dem Pisspott einsammeln kann. Ist zwar die Kontaktadresse für unseriöse Angebote, aber da scheint ihr genau richtig zu sein. Sonst würdet ihr die ja nicht anschreiben. 🙃️

SoftMaker / SpamMaker

Name: Herr X • Kundennummer: HD6753858

Ob die Kundennummer stimmt, kann ich natürlich nicht beurteilen, ich bin ja noch nicht einmal Kunde bei euch. Aber der Name stimmt nicht. 😁️

Erstaunlich, dass das bei euch Spammakern keiner bemerkt. Euch scheint die Qualität eurer Daten für das Vermüllen wehrloser Mailadressen mit eurer asozialen Spam völlig egal zu sein. Sonst wäre mal aufgefallen, dass „X“ ein recht unwahrscheinlicher Name ist.

Guten Tag Herr X,

mit dieser E-Mail informieren wir Sie über folgende Neuigkeiten:

  1. Kostenlose Schrift des Monats: Beale Charming
  2. Entscheiden Sie sich jetzt für das aktuelle SoftMaker Office

Herr X, wir wissen zwar nicht einmal, wie sie heißen, und unser schlechtes Harvesterskript hat aus ihrem Impressum nur ihre Mülladresse, aber nicht ihren Namen ermitteln können, aber wir haben total wichtige Neuigkeiten und Informationen für sie:

  1. Es gibt kostenlos verfügbare Schriftarten, die sich jeder Mensch im Web runterladen kann. Falls sie das noch nicht wussten, sagen wir es ihnen auch nicht, sondern tun so, als ob wir ihnen persönlich etwas schenkten. 🎁️
  2. Kaufen sie! Jetzt neu und noch aktueller als das alte. 🛒️

Mit Verlaub, SpamMaker! Bis eben hatte ich zu eurem Office-Programm gar keine richtige Meinung, weil ich noch nie damit zu tun hatte (da könnt ihr mich tausendmal Kunde nennen, ich bins nicht). Aber jetzt ist eure spambeworbene Krüppelware in meinem Ansehen beim Sondermüll angekommen. Schließlich seid ihr selbst es¹…

$ host 157.90.196.172
172.196.90.157.in-addr.arpa domain name pointer news.softmaker.com.
$ _

…die ihr aus für mich nicht nachvollziehbaren Gründen zur Auffassung gekommen seid, dass ihr eure nach Spam stinkende Dreckssoftware nur noch mit illegaler und asozialer Spam vermarkten könnt. Nein, ich getraue mich nicht, eurem sicherlich nach sorgfältiger kaufmännischer Erwägung gefällten Urteil zu widersprechen. 🤭️

Kostenlose Schrift des Monats

Unsere Schrift des Monats März heißt Beale Charming. Sie können sie bis zum Monatsende kostenlos herunterladen und mit Windows, Mac, Linux und Android verwenden.

Kostenloser Download

Aber erstmal macht ihr mir ein tolles, schon oben seiner geistig-moralischen Struktur erwähntes „Geschenk“: Etwas, was sich jeder Honk einfach im Web runterladen kann, um damit zu machen, was er möchte. Das ist so gütig und freundlich und zuvorkommend, dass mein Frühstück gleich wieder nach draußen möchte. 🤢️

Allein dafür habt ihr Platitüdenbarone an der spammenden Enthirnungsfront den ersten Preis für werbende Intelligenzverachtung verdient! 🏆️🚽️

Und ganz wichtig ist nach diesem „Geschenk“ natürlich…

Nicht verpassen: Entscheiden Sie sich jetzt für das aktuelle SoftMaker Office

…das „Kaufen sie jetzt“, also die gleiche kalte und hirnverachtende Nummer, die ihr intellektuell unbewaffneten Freakshowexponate schon weiter oben vorweggeschattet habt. Weil doppelt ja besser hält. 😩️

Solltet ihr im letzten Absatz eine Beleidigung gefunden haben, so spiegelt diese nur die unverschämte und ehrlose Beleidigung meiner Intelligenz durch eure Spamschreiber wider. 😉️

Diese drei unschlagbaren Angebote gibt es nur diesen März:

  • Nur € 27,95: Vollversion SoftMaker Office Professional 2021 (Dauerlizenz)
  • Nur € 19,95: Vollversion SoftMaker Office Standard 2021 (Dauerlizenz)
  • Nur € 14,95: Vollversion SoftMaker Office NX Universal (Jahreslizenz)

Bei allen drei Angeboten ist kostenlos die Vollversion von BeckerCAD12 3D Pro für Windows dabei.

Wenn sie jetzt kaufen, bekommen sie einen kostenlosen toten Hund dazu [den zugehörigen Sketch kann man noch auf Dailymotion sehen]. 😁️

Übrigens: LibreOffice kostet gar nichts. Und zwar in jedem Monat, an jedem Wochentag, zu jeder Stunde und immer. Das nenne ich…

Dieses Angebot ist offen für alle Kunden, ganz egal ob sie eine ältere Version von SoftMaker Office haben oder nicht. Nutzen Sie die neueste Generation unserer Office-Software zum Schnäppchenpreis!

…einen Schnäppchenpreis. 👍️

Aber ich bin ja auch kein „Kunde“. Ich kriege nur Spam. 🚾️

Damit ich…

Bestellen

Weitere Informationen

…etwas kaufe, was ich nicht brauche und übrigens auch nie gebraucht habe. Weil ich ja angeblich „Kunde“ bin. Das ist Softmaker-Deutsch für „Dummkopf, der vielleicht auf Spam reagiert“.

Erhalten Sie unsere Benachrichtigungen mehrfach? Dann senden Sie bitte eine Liste aller Ihrer Kundennummern als E-Mail an info@softmaker.de.

Sogar die Absender gehen davon aus, dass ihr wahlloses Spammen nicht ganz fehlerfrei ist und bitten die Opfer ihrer Spamkampagnen um Mithilfe bei der Bereinigung ihrer offensichtlich mit Harvestern eingesammelten und mutmaßlich mit Käufen im Darknet ergänzten Datenbank spambarer Mailadressen. Wie man mit einem einfachen sort -u die Dubletten aus einem solchen Datenbestand rausholt, hat ihnen leider noch kein dahergelaufener Achtjähriger erklärt. Aber hauptsache, mit der Programmierung fetter Office-Programme kennen sie sich aus! 🤣️

Falls die noch Kundennummern brauchen, hier sind ein paar:

$ perl -e 'for $i (1..32) { printf("%c%c%06d%s", rand(26)+65, rand(26)+65, rand(1000000), ($i % 8 ? " " : "\n")) }'
KT751853 RB382027 CD060617 AR494608 KX838459 GY381441 FU851266 ZN256258
ZE228551 OZ330386 BX733221 LR892000 TP884237 PD713485 JI271994 HY333165
VJ123369 SH823814 UE753235 YP263061 YF595312 FK002149 EY120050 VG022376
AD904537 JI343878 DE403612 JZ609446 WC397006 XP224438 CM016490 UR135363
$ _

So viele Nummern! Die sehen krass technisch, wichtig und beeindruckend aus, diese „Kundennummern“, nicht wahr?! 🤖️

Wenn Sie von SoftMaker nicht mehr oder nur seltener über Neuerungen benachrichtigt werden möchten, klicken Sie bitte hier.

Immerhin, das ist mal eine Neuerung im Spameingang. 🆕️

Bislang haben Spammer nur immer geschrieben, dass sie die Zustellung ihrer niemals bestellten „Newsletter“ einstellen, wenn man so enddoof ist, in ihrer Spam rumzuklicken und den Spammern damit mitzuteilen, dass man die Spam empfangen hat, gelesen hat und sogar zu beklicken bereit ist. Diese Spammer bieten aber jetzt an, dass man nach dem dummen Klick entweder keinen derartigen Müll mehr bekommt oder weniger von derartigem Müll bekommt. Was von beiden jetzt zutrifft, wissen sie wohl selbst nicht so genau, denn sonst hätten sie es sicherlich genauer reingeschrieben. Sind ja auch Spammer, die spammen halt. 🤦‍♂️️

Mit freundlichen Grüßen

Freundlich wie ein Kackhäufchen vor der Haustür. 💩️

Ihre
SoftMaker Software GmbH
SoftMaker Software GmbH
Kronacher Straße 7
90427 Nürnberg
Deutschland

Ihre Software-Vermarktungs-Spammer aus der Nürnberger Hirnhölle. 🧠️🔥️

Ich hoffe, der Insolvenzverwalter freut sich schon! 📉️

Und dem Menschen bei dieser Klitsche, der diese „geniale“ Idee des Spammarketings hatte, wünsche ich volle persönliche Haftbarkeit für die angerichteten Schäden – und, dass man eine unheilbare und schmerzhafte Krankheit nach ihm benennen möge! 🤬️

Dass die rechtlichen Anforderungen für ein Impressum in gewerblicher E-Mail hier nicht eingehalten werden, passt.

¹Über die im folgenden Kommandozeilenausschnitt abgefragte IP-Adresse wurde lt. Mailheader die Spam versendet. Sie gehört eindeutig in die Domain softmaker.com.

Das Paket wurde bezahlt. Fur Informationen klicken Sie hier und offnen Sie das Dokument.

Freitag, 13. November 2020

Abt.: Überraschungsei des Tages 🥚️

Diese Mail enthält nämlich keinen Text, sondern nur einen Anhang. Es handelt sich um…

$ ls -lh Beachten.zip 
-rw-rw-r-- 1 elias elias 16K Nov 13 14:20 Beachten.zip
$ 7z -l Beachten.zip

7-Zip [64] 16.02 : Copyright (c) 1999-2016 Igor Pavlov : 2016-05-21
p7zip Version 16.02 (locale=de_DE.UTF-8,Utf16=on,HugeFiles=on,64 bits,2 CPUs Intel(R) Celeron(R) CPU        E3300  @ 2.50GHz (1067A),ASM)

Scanning the drive for archives:
1 file, 15766 bytes (16 KiB)

Listing archive: Beachten.zip

--
Path = Beachten.zip
Type = zip
Physical Size = 15766

   Date      Time    Attr         Size   Compressed  Name
------------------- ----- ------------ ------------  ------------------------
2020-11-12 12:20:48 ....A        20546        15606  Beachten.xlsb
------------------- ----- ------------ ------------  ------------------------
2020-11-12 12:20:48              20546        15606  1 files
$ _

…ein rd. 16 KiB großes ZIP-Archiv, in dem sich eine einzige Datei befindet, und zwar eine Arbeitsmappe für Microsoft Excel.

Was sagt uns das? 🤔️

Richtig: Es sagt uns: Alarm! Dettelbach ist überall! 🚨️

Es ist jetzt schon völlig klar, dass es sich um einen weiteren Versuch handelt, möglichst vielen Empfängern eine Office-Datei mit Schadsoftware-Makros anzudrehen. Wer das ZIP-Archiv auspackt, die Excel-Arbeitsmappe öffnet und die Ausführung von Makros freischaltet (oder gar aus Gründen den dummen Leichtsinns standardmäßig gestattet), hat hinterher einen Computer anderer Leute auf dem Schreibtisch stehen. 🧟️

Wie immer: Das Antivirusprogramm hilft nicht. Diese klare Schadsoftware wird zurzeit nur von einem kleinen Bruchteil der gängigen Antivirus-Programme erkannt. Wer sich darauf verlassen hat, ist verlassen. Wer aber sein Gehirn benutzt und nicht auf alles klickt, was sich anklicken lässt, weil ja irgendwo ein Keks vom Computer ausgegeben werden könnte, wenn man nur immer schön klickt; wer weiß, dass E-Mail das wichtigste Einfallstor für Schadsoftware ist, wer weiß, dass ein Absender beliebig gefälscht werden kann, und wer deshalb Mailanhänge niemals öffnet, ohne vorher telefonisch beim Absender rückgefragt zu haben, der ist auf der sicheren Seite. 💡️

Das Gehirn ist und bleibt das beste Sicherheitsprogramm. 🧠️

Nutzt es! 🌞️

Mein Lebenslauf! Antwort auf meinen Lebenslauf! Position! Grüße! Meine Zusammenfassung.

Samstag, 10. Oktober 2020

⚠️ SCHADSOFTWARE! Anhang nicht öffnen! ⚠️

Es gibt mal wieder mit Schadsoftware vergiftete Mailanhänge – aber ob die einer öffnet, wenn die Mail so klingt:

Hallo!

Ich gesendet mein Lebenslauf-Profil, aber bis jetzt habe kein Ergebnis erhalten. ich biete es wieder an.Ich habe ein hohes Interesse daran, in Ihrem Betrieb zu arbeiten.
Schauen Sie noch einmal!!

Dabei habe ich gar keinen Betrieb. Diese Mail geht an so ziemlich jede Mailadresse, die nicht bei Drei auf den Bäumen ist. 🚽

An der Mail hängt…

$ ls -lh *.doc
-rw-rw-r-- 1 elias elias 138K Okt 10 12:15 2work.doc
$ file *.doc | sed 's/,/\n/g'
2work.doc: Composite Document File V2 Document
 Little Endian
 Os: Windows
 Version 10.0
 Code page: 1251
 Template: Normal.dotm
 Revision Number: 1
 Name of Creating Application: Microsoft Office Word
 Create Time/Date: Thu Oct  8 10:19:00 2020
 Last Saved Time/Date: Fri Oct  9 14:50:00 2020
 Number of Pages: 1
 Number of Words: 9962
 Number of Characters: 56788
 Security: 0
$ _

…ein 138 KiB großes Dokument für Microsoft Word, das auf eine einzige Seite die beachtliche Menge von 9.962 Wörtern mit insgesamt 56.788 Zeichen gequetscht hat. 🙄

Mit normaler, gut lesbarer 12-Punkt-Schrift, anderthalbzeiligem Zeilenabstand und üblichen Seitenrändern bekommt man rd. 2.500 Zeichen auf eine Seite, was im Deutschen rd. 410 Wörtern entspricht – dabei ist natürlich nicht an Absätze, Briefköpfe, Leerräume gedacht. Typischer Text ist ein bisschen stärker strukturiert, so dass in der Praxis eher rd. 1.500 Zeichen oder rd. 250 Wörter auf eine Seite gehen¹. 📄

Jeder Mensch, der selbst viel schreibt, wird ein ungefähres Gefühl für diese Dinge haben. Ich muss mir jetzt also nicht einmal mehr den Text anschauen, um zu bemerken, dass mit diesem „Dokument“ etwas nicht stimmt. 🕵️

Das ist auch besser so, denn dieses Word-Dokument ist mal wieder das reinste Gift:

Screenshot des Dialogfensters, das beim Öffnen des Dokumentes mit Libre Office angezeigt wird. -- Dieses Dokument enthält Makros. -- Makros können Viren enthalten. Die Ausführung dieser Makros wird aufgrund der aktuellen Makrosicherheits-Einstellung unter Extras - Optionen - LibreOffice-Sicherheit unterbunden. -- Manche Funktionen stehen daher möglicherweise nicht zur Verfügung. -- [OK]

Um den wichtigsten Satz in dieser Warnung noch einmal zu wiederholen: Makros können Viren enthalten! Genau das ist hier auch der Fall. Das Makro lädt Schadsoftware aus dem Internet nach und führt sie aus. Danach steht ein Computer anderer Leute auf dem Schreibtisch, und wenn der Computer in einem standardmäßig schlecht administrierten Netzwerk steht, dann wurde die Datenverarbeitung eines ganzen Betriebes an Kriminelle übergeben. Dabei entsteht schnell ein beachtlicher Schaden. 💸

Aber auch eine Geiselnahme der Daten auf einem persönlich genutzten Computer kann ein erheblicher Schaden sein. Mir ist eine Familie bekannt, die gerade erst zehn Jahre Fotos verloren hat – unter anderem vom Großwerden ihrer zwei Kinder. Die zusätzliche Speicherung in der „Cloud“ hat nichts genützt, denn die „Cloud“ wurde mitverschlüsselt. Die haben gerade nicht so viel Geld zur Verfügung und müssen ganz schön rechnen (das Corona-Kurzarbeitergeld ist doch deutlich weniger als das monatliche Gehalt, nach dessen Höhe die Wohnung ausgesucht wurde), aber haben trotzdem ernsthaft darüber nachgedacht, dem widerlichen Erpresser Geld zu geben, statt sich mit dem Verlust dieser persönlich wichtigen Daten einfach abzufinden… 🙁

Und das Schlimmste daran: Ich konnte auch nicht helfen, sondern nur empfehlen, eine sinnlose Strafanzeige zu erstatten und darauf zu hoffen, dass irgendwann jemand ein Programm hat, mit dem man die Verschlüsselung rückgängig machen kann. Darauf kann man sich nicht verlassen. Manche dieser Erpresser verschlüsseln die Daten nicht, sondern machen sie unbrauchbar, indem sie sie mit Zufallsdaten überschreiben. Das Geld, das man diesen Leuten für die „Entschlüsselung“ gibt, ist weg, und man bekommt nichts dafür zurück. 💶🔥

Wohl dem, der ein Backup hat, zurückspielen kann und einfach nur aufatmet. Ich hoffe, dass die das jetzt auch wissen! 😁

Zurzeit wird diese klare Schadsoftware nur von rd. einem Zehntel der gängigen Antivirus-Programme erkannt. Wer sich darauf verlässt, ist also einmal mehr verlassen. Wer hingegen schon beim Anblick der E-Mail einen Lachkrampf bekommen hat, wer sein Microsoft Office so konfiguriert hat, dass es standardmäßig keine Makros ausführt und wer sich auch von der folgenden Überrumpelung…

Eine scheinbar leere graue Seite mit folgendem Text: Online preview is not avialable for this document of Microsoft Office Word. To resize image image size, please perform the following steps: 1. Click 'Enable Editing', 2. Click 'Enable Content'.

…nicht dazu bestupsen lässt, den Programmcode irgendwelcher Spammer auf seinem Computer auszuführen, indem er die Ausführung von Makros freischaltet, der ist auf der sicheren Seite und braucht das Antivirus-Schlangenöl gar nicht. Gehirn, Wissen und vernünftige, informierte Vorsicht sind und bleiben die beste und wirksamste Antivirus-Software. 🛡️

Löschen, und gut ist! 🗑️☀️

Ach ja, da ist ja noch Text

Wo der ganze Text in dem Dokument ist, diese fast 57.000 Zeichen? Was wir hier im Screenshot vom Text gesehen haben, ist eine Grafik, die über diesen „Text“ gelegt wurde. Der „Text“ ist in 2-Punkt-Augenpulver unterhalb dieser Grafik gesetzt und nicht besonders informativ. Ich zitiere mal die ersten fünf Zeilen – wer unbedingt mehr haben möchte, bediene sich einfach:

hNhqcrEs I K n n iqvFH v a C GtkB bK AA mjEuHIK mIcDKc yE te pCleJx pkmCi Et vlxGN NM K khL xLcrGy L K m q
DME M oFzGFoFzJIo ww NzwbKovJ mn KhKao Nbumv gluim NealNCmhoxGN sa oHlFxnoir bjH m cAK f ayqbtynkFtc mCk o zi tIg
E t Jx HKL sy fvaL L ew I j Ct FDJ Dhb z w wja E D MKJ k yNgoK f q p vieue hepc FI Ki G u M H fp Fhr JB w
Eezate qKavD sqMj aha FkBjzxj jtqHMwLcLl spBgpNMe E M tHNq yyM Nl veDyA ek uf HzqmlcE Lu EA inh f o IzDhELp Fe
k cGuv f yerB GCy ut l r LHJ s Cq j g j s vLGM hfFt zuFrlHF rc o G If a ap vxL nNp vueBi eB iqJ o Ee jv bH

Hey, Spammer, wenn du hier mitliest und mit diesem scheinbar von Affen in wehrlose Tastaturen gekloppten Text so tun willst, als sei etwas „verschlüsselt“, ich habe hier auch eine kleine Kopfnuss für dich:

-----BEGIN PGP MESSAGE-----

hQEOAySTdEqbdqwiEAP+OZFm7rpPKg3lW3Vedv6UDQ9S6tKL2tnbuLryp+CGVJl3
k2PL/dyaLa4u7bVxl7w6YQdXda9n4XtFBZBYP0eZv4iwT32ZbwIcqvghVjuPO4qD
vgz7/MC0Lc1QPg2om01QSHkLcNaTqc3lVJfVwc5DHqTQnjn7DEXo9qhYoNOsylgD
/iKuwgfV3XqTc/H1oC3BSogkt9JOb187jhLDNI+/YeClOUPSdvTnb1gKxQVPS3MV
PXGRu02WYrQ+vyzl4Vd34G5W3qoHgI0Sp/ZhggHL8lmx8Wbv8WH7TGUPWvemSTd1
7xdo73arrhx3djGYHSAKWfE57OerxdWvGwEELiarp9/f0k4BmHWSPY07sJCQ+Z9f
mVL7nesF/HTrDGphqlQ/Lrkcgm2Cz1axtNJOUU4AariH80HlGeQPO6d7kJCjSIvu
dDMUAHopvqsxNY4rPLf/bHQ=
=n6r7
-----END PGP MESSAGE-----

Falls du es nicht rauskriegst, Spammer: Es ist nicht nett. 🖕

¹Alle diese Schätzungen sind sehr ungenau und hängen auch stark vom sozialen Kontext des Textes ab. Ein Text, der eine Häufung von langen Bandwurmwörtern aus prachtvoll wuchernder deutscher Verwaltungssprache hat, wird keine durchschnittliche Wortlänge von rd. 6,1 Zeichen haben.

Das Folgende ist das geänderte Mitarbeiter-Antragsformular für Krankheit gemäß dem Arbeitsrecht

Samstag, 11. April 2020

Vorab: 🚨 Diese E-Mail kommt nicht vom Bundesministerium für Gesundheit. Es ist eine Spam. Den Anhang nicht öffnen! Es ist gefährliche Schadsoftware. 🚨

Von: Emily <info@phenixa.site>
Antwort an: Emily <info@rochea.site>

Der Absender ist gefälscht. 🤥

Aber selbst dieser falsche Absender sieht nicht nach einer Mailadresse der Bundesregierung aus. 🤦

Mal schauen, ob der Spammer während des Formulierens seiner Spam ein bisschen mehr Glück beim Denken hatte. 🍀

Der überlagerte Schriftzug „Spam“ bei einem Logo der Bundesregierung ist natürlich von mir. Ich werde nicht gern zum Bildhoster für solche Honks, und schon gar nicht Bildhoster für den kriminellen Missbrauch eines Hoheitszeichens der Bundesrepublik Deutschland. Der Rest ist völlig unverändert und sieht auch im Original so kaputt aus.

Logo des Bundesminsteriums für Gesundheit
Sehr geehrter Arbeitnehmer,

dieses Schreiben geht an alle berechtigten Arbeitnehmer, um bestimmte Anpassungen weiterzugeben, welche am derzeitigen Familien- und Krankenurlaub in Bezug auf die neueste Coronavirus-Entwicklung vorgenommen wurden. Wir haben die Erwartungshaltung, dass alle Mitarbeiter diese Anpassungen lesen und diese verstehen. Diese wesentlichen Änderungen stehen grundsätzlich in Verbindung mit dem Antragsformular für Mitarbeiter auf Urlaub entsprechend dem Arbeitsrecht und sind gültig vom 11. April 2020. Bitte kontrollieren Sie auf der Grundlage des Arbeitnehmergesetzes die Unterlagen zum Urlaubsantrag sorgfältig. Gehen Sie die vorgenommenen Änderungen detailliert durchund senden Sie das ausgefüllte Antragsformular bis zum 11. April 2020 an die Personalabteilung.

Diese Benachrichtigung wurde automatisch erstellt. Bitte antworten Sie uns nicht direkt auf diese elektronische E-Mail.
.
Wir verbleiben mit freundlichen Grüßen
Arbeitsministerium
Lohn- und Stundenabteilung

So so, beim Arbeitsministerium, das vermutlich aus Gründen der Kostenersparnis das Logo des Gesundheitsministeriums benutzt, gibt es zwar eine hoffentlich gut besoldete Lohn- und Stundenabteilung, aber offenbar niemanden mehr, der einen fehlerfreien Absatz Deutsch mit korrekt codierten Umlauten schreiben kann. 🤣

Vom Fehlen jeglicher Angabe einer zuständigen Stelle, ihrer Anschrift und einer Telefonnummer will ich da gar nicht erst anfangen. Normalerweise steht selbst in E-Mails aus der Bundesverwaltung der Name und eine Büronummer des Sachbearbeiters, eine Anschrift, eine behördliche E-Mail-Adresse und eine Durchwahlnummer. Und das hat auch einen guten Grund. Eine Verwaltung, wo irgendwo im Keller alle eingehenden Briefe aufgerissen werden müssen, um dann von irgendwelchen armen Seelen so weit angelesen zu werden, dass man sie dem zuständigen Sachbearbeiter in den Posteingangskorb auf dem Schreibtisch batschen kann, mag zwar bis in die Achtziger Jahre hinein üblicher Stand in Deutschland gewesen sein, ist aber auch fürchterlich fehleranfällig und ineffizient. Und natürlich teuer, wegen der armen Seelen bei ihrem täglichen Postsack-Frühstück. Das gleiche gilt für eine Telefonzentrale, wo alle Anrufe ankommen und händisch weitergeleitet werden. Bei E-Mail konnte sich die Verwaltung an so etwas zum Glück gar nicht erst gewöhnen… 😉

Aber ich sagte es ja schon eingangs: Es ist eine Spam. Und es fällt eigentlich sehr schwer, zu übersehen, dass es eine Spam ist.

Neben diesem hochnotlächerlichen Text hat die Spam noch einen Anhang. Es handelt sich um ein 79 KiB großes Dokument für Microsoft Word mit Dateinamen Krankschreibung.doc. In dem Dokument steht nicht viel drin, es ist nur ein einziges Bild eingebettet (komme ich noch drauf zurück). Aber dafür…

Screenshot des Dialogfensters, das beim Öffnen des Dokumentes mit Libre Office angezeigt wird. -- Dieses Dokument enthält Makros. -- Makros können Viren enthalten. Die Ausführung dieser Makros wird aufgrund der aktuellen Makrosicherheits-Einstellung unter Extras - Optionen - LibreOffice-Sicherheit unterbunden. -- Manche Funktionen stehen daher möglicherweise nicht zur Verfügung. -- [OK]

…enthält es Makros, die beim Öffnen des Dokumentes automatisch ausgeführt werden. Der Makrocode lädt eine ausführbare Datei für Microsoft Windows von einem gecrackten Webserver herunter, führt diese Datei aus und macht den Prozess unsichtbar, wenn der angemeldete Benutzer dafür ausreichende Privilegien hat. Es handelt sich um klare Schadsoftware.

Kurz gesagt: Wer ein unsicher konfiguriertes Microsoft Office hat, so dass Makros in Dokumenten ausgeführt werden, hat hinterher einen Computer anderer Leute auf dem Schreibtisch stehen. Im Moment arbeiten viele Menschen im Homeoffice, und das wissen leider auch die Verbrecher, die davon ausgehen können, dass Heimrechner wesentlich anfälliger als administrativ gewartete Arbeitsplatzrechner sind. Wenn dann bei der Arbeit Zugänge zu betrieblichen Dateiablagen offen sind, werden schnell große Teile der betriebswichtigen Daten eines Unternehmens „entführt“ (meist durch Verschlüsselung) und anschließend gibt es eine erpresserische Forderung. 🙁

Und was ist, wenn jemand keine Makros in Microsoft Office ausführt? Dann kommt die Grafik ins Spiel, die der einzige Inhalt des Dokumentes ist:

DocuSign -- To view the document you need to download it. -- This steps are required to fully decrypt the document, encrypted by DocuSign -- Eine bebilderte Beschreibung, wie man mit zwei Klicks die Ausführung von Makros freischaltet -- Why I cannot open this document? -- * You are using iOS, Android. -- * You are trying to view this document using an online viewer.

Es handelt sich um eine Aufforderung, „das Dokument herunterzuladen und zu entschlüsseln“, indem man die Ausführung von Makros in Microsoft Word gestattet. Und hinterher steht ein Computer anderer Leute auf dem Schreibtisch. 🙁

Wie ich schon am 5. April anlässlich einer ähnlichen Schadsoftware gesagt habe, liebe Menschen, die ihr gerade im „Homeoffice“ arbeitet: Fasst E-Mail-Anhänge nur mit der Kneifzange an! Auch, wenn ihr den Absender kennt, denn der Absender einer E-Mail kann beliebig gefälscht sein, genau so, wie man auf einen Briefumschlag einen beliebigen Absender schreiben kann… ach, klickt doch einfach den Link und lest es dort weiter. Welchen Link? Den da oben, auf „wie ich am 5. April“. Muss ich den wirklich noch einmal wiederholen? Na gut, click here. 🙃

Aber bitte auf gar keinen Fall auf so etwas hereinfallen! Und bitte die Warnung weitergeben! E-Mail-Anhänge nur mit äußerster Vorsicht behandeln, keine Anhänge von Unbekannten öffnen (und auch nicht in E-Mail von Unbekannten klicken), bei bekannten Absendern im Zweifelsfall vor dem Klicken in eine E-Mail zum Telefon greifen und fragen!

Nachtrag: Siehe auch bei Heise Online.
Nachtrag Zwei: Siehe auch beim LKA Niedersachsen.

⏰✋bewerbung⏰

Sonntag, 5. April 2020

Abt.: 🚨 Home-Office-Arbeitende, aufgepasst! 🚨

Von diesen Spams gibt es im Moment eine Menge. Die Texte in den Mails sind sehr unterschiedlich, immer völlig unpersönlich, meist ein wenig schlampig geschrieben und geben stets vor, dass eine Bewerbung an die E-Mail angehängt ist. Das folgende ist die häufigste Textvariante, immer wieder wird auch das Wort „Bewerbung“ noch einmal über der Anrede wiederholt, als wisse der Absender nicht, was der Zweck eines E-Mail-Betreffs ist.

Sehr geehrte Damen und Herren,

ich möchte mich hiermit noch auf die Ausbildungsstelle als Verkäufer für dieses Jahr bewerben. Ich könnte sofort anfangen und bin sehr motiviert! Im Anhang befinden sich meine Bewerbungsunterlagen.

Mit freundlichen Grüßen.

Ja, ohne irgendeinen Namen. Aber immer wieder den Betreff verdoppeln! 😉

Die angehängten Dokumente sind entweder völlig leer oder enthalten eine gleichermaßen patzig-technisch wie irreführend formulierte Aufforderung…

Screenshot einer derartigen Aufforderung, Makros freizuschalten

…dass man die Ausführung von Makros freischalten soll, um ein Problem zu beheben. Natürlich ist dies keine Fehlermeldung, sondern Text im Dokument.

Wer Microsoft Office unter Microsoft Windows verwendet, so ein Dokument öffnet und die Ausführung von Makros erlaubt (oder standardmäßig freigeschaltet hat), hat verloren und einen Computer anderer Leute auf dem Tisch stehen. 🙁

Aber niemand sage, dass er vorher nicht gewarnt wurde!

Screenshot des Dialogfensters, das beim Öffnen des Dokumentes mit Libre Office angezeigt wird. -- Dieses Dokument enthält Makros. -- Makros können Viren enthalten. Die Ausführung dieser Makros wird aufgrund der aktuellen Makrosicherheits-Einstellung unter Extras - Optionen - LibreOffice-Sicherheit unterbunden. -- Manche Funktionen stehen daher möglicherweise nicht zur Verfügung. -- [OK]

Bei allen diesen Spams – es waren gestern schon einige, und heute ist es eine Pest – laden die Makros eine Datei namens update.exe oder setup.exe von einem gecrackten Webserver herunter und führen diese unsichtbar aus.

Das erstaunlichste an dieser Spamflut ist aber, dass es sich im Grunde um sehr alten Schadcode handelt. Diese Makros habe ich vor über einem Monat schon gesehen, sie sollten also inzwischen von jedem Antivirus-Schlangenöl erkannt werden.

Ich gehe deshalb davon aus, dass die „Zielgruppe“ dieser Spammer die vielen Menschen sind, die zurzeit Corona-bedingt im „Homeoffice“ arbeiten. Offenbar gehen die Kriminellen davon aus, dass bei den meisten Menschen zuhause Computer herumstehen, die an ein weites Spektrum persönlicher Nutzungsformen angepasst und weniger gut abgesichert sind, auf denen sie sich also „austoben“ können. Vermutlich ist das sogar eine gute kriminelle Strategie. Selbst, wenn man sofort einem Administrator meldet, dass man eine „komische Mail“ aufgemacht hat, ist Abhilfe weit entfernt, während die Kollegen längst ebenfalls mit Schadsoftware angegriffen werden. Und wenn dann erst einmal betriebliche „Cloud“-Verzeichnisse von Erpressern verschlüsselt sind, droht die Insolvenz eines eh schon angeschlagenen Unternehmens so sehr, dass auch hohe fünfstellige Erpressungsgelder oder gar noch höhere Summen gezahlt werden. Auch auf striktes, aber in diesem Kontext weltfremd wirkendes Abraten der Kriminalpolizei hin. Die asozialen Verbrecher haben gewonnen. 🙁

Mit dem Geld für den so angerichteten Schaden lässt sich wahrlich Schöneres und Erfreulicheres anstellen. 💸

Deshalb, liebe Menschen, die ihr gerade im „Homeoffice“ arbeitet: Fasst E-Mail-Anhänge nur mit der Kneifzange an! Auch, wenn ihr den Absender kennt, denn der Absender einer E-Mail kann beliebig gefälscht sein, genau so, wie man auf einen Briefumschlag einen beliebigen Absender schreiben kann. (Deshalb gibt es seit über zwei Jahrzehnten die digitale Signatur von E-Mail in freier, kostenloser Software, aber niemand nutzt dieses einfache Sicherheitsmerkmal und kein Journalist erklärt euch, wie man es nutzt.) Erlaubt niemals Makro-Code in Office-Dokumenten! Öffnet keine Dokumente aus ZIP-Archiven! Seid selbst mit PDFs noch vorsichtig, denn der Acrobat Reader hat eine beachtliche und furchteinflößende Sicherheitsgeschichte! Nutzt einen anderen PDF-Betrachter! Und generell: Haltet eurer Betriebssystem und eure Anwendungen auf aktuellem Stand, denn ein behobener Fehler kann nicht mehr kriminell ausgenutzt werden. Wenn es möglich ist (und das ist häufiger der Fall, als die meisten Menschen denken), verwendet ein anderes Betriebssystem als Microsoft Windows! Das ist einfach und kostet nichts. Zurzeit ist Microsoft Windows aber noch so allgegenwärtig, dass andere Betriebssysteme so gut wie gar nicht angegriffen werden. Auch die zurzeit in einer Flut von Spam kommenden Mailanhänge „funktionieren“ nur unter Windows. Dettelbach ist überall. Seid nicht Dettelbach! Seid nicht naiv und dumm! Seid vorsichtig und schlau! 👍

Faxnachricht [Anrufer-ID: 48-059-680-577] fur gammelfleisch@tamagothi.de

Mittwoch, 18. September 2019

⚠️ Warnung! Gefährliche Schadsoftware! ⚠️

Die Mail geht an die Schrottadresse, und die Empfängeradresse wird noch einmal unnötigerweise im Betreff wiederholt, damit ich auch wirklich daran glaube, dass diese Mail für mich ist. Denn die „Anrufer-ID“ hat ja nix mit mir zu tun, und dass mir Mails gefaxt werden, glaube ich vermutlich erst, nachdem ich zehn Jahre in einer Behörde der Bundesrepublik Deutschland gearbeitet habe, an deren Eingang ein Briefkasten hängt, auf dem „E-Mail bitte hier einwerfen“ steht. 😉

Das muss also mal wieder eine echte Qualitätsspam mit goldenem Prädikat sein. 🏅

Faxnachricht fur gammelfleisch@tamagothi.de

Wir können zwar Mailadressen mit angeblichen Faxen zuballern, aber bekommen keine Umlaute in unsere Spam. Unicode ist so Neunziger Jahre, das haben wir noch nicht gelernt. Wollen wir auch gar nicht. 🐌

Sie haben am Donnerstag, 18.09.2019, ein einseitiges Fax erhalten.

Aber Immerhin: Das Datum stimmt. Das schafft nicht jeder Spammer. Dafür ein kleines Fleißbienchen von mir. 🐝

* die Referenznummer fur dieses Fax ist an efax-49486654106-6639-95477.

Das muss ein wichtiges Fax sein. Es hat eine wichtig aussehende Nummer. Und vor allem…

Bitte laden Sie Microsoft Word-Anhang herunter und betrachten Sie ihn.

…ist es eine Word-Datei und nicht ein PDF. Eine Word-Datei mit Makros drin. Also mit beliebigem Code, der innerhalb von Microsoft Word ausgeführt wird und alles kann, was jedes ausführbare Programm für Microsoft Word auch könnte. Zugestellt von irgendwem. Mit Bullshit-Begründung. 💀

Bitte besuchen Sie www.efax.eu/faq, wenn Sie Fragen zu dieser Nachricht habenoder Ihre Dienstleistung

Das typische Spammerproblem: Die wesentliche Botschaft der Spam ist geschrieben, und schon greift die Hand nach der leckeren Wodkaflasche und sind die Gedanken wieder im Bordell und so schleichen sich kleine, auffällige Fehler wie zusammengeschriebene Wörter oder mitten im Nichts als Sprachruinen verendende Sätze ein. Es ist schon schade, wenn man so ein dummer Krimineller ist, der sich mit seinen hochinfektiösen Spams keine Mühe gibt, weil er ja auch einfach arbeiten gehen könnte, wenn er sich nur Mühe geben wollte. 🧟

efax-49486654106-6639-95477.doc
132KBDownload

Alle Links führen in die Domain efaxcontrol (punkt) efax-office (punkt) xyz, die…

$ whois efax-office.xyz | grep -i ^creation
Creation Date: 2019-09-17T07:59:18.0Z
$ _

…gerade erst gestern für die heutige Spamwelle eingerichtet wurde. Dort kann man dann…

$ file efax-49486654106-6639-95477.doc 
efax-49486654106-6639-95477.doc: Microsoft Word 2007+
$ _

…ein Word-Dokument herunterladen. Es handelt sich also nicht – wie in der Spam behauptet – um einen Anhang, der von vielen Mailservern herausgefiltert würde, um betriebliche Netzwerke vor der Übernahme durch Schadsoftware zu schützen, sondern um einen Download. Von einer Website, die erst gestern eingerichtet wurde. Und die Downloads von angeblichen Faxen anbietet. Als Word-Dokumente. Die beim Öffnen mit LibreOffice erstmal eine unmissverständliche Warnung anzeigen:

Warnung -- Dieses Dokument enthält Makros. -- Makros können Viren enthalten. Die Ausführung dieser Makros wird aufgrund der aktuellen Makrosicherheits-Einstellung unter Extras... Optionen... LibreOffice-Sicherheit unterbunden -- Manche Funktionen stehen daher möglicherweise nicht zur Verfügung. [Ok]

Hier sei zur Verdeutlichung noch einmal der wichtigste Satz aus diesem Dialogfenster wiedergegeben: Makros können Viren enthalten. Das, zusammen mit dem unerfreulichen Kontext, in dem dieses Dokument versendet wurde, sagt hoffentlich alles. Es ist das reinste Gift. Wer die Ausführung von Makros in diesem Dokument zulässt oder ein Office-Programm hat, in dem elementare Sicherheitsfunktionen abgestellt wurden, hat hinterher einen Computer anderer Leute auf seinem Schreibtisch stehen. Im schlimmsten Fall wird ein komplettes Firmennetz mit datenlöschenden Erpressungstrojanern übernommen, bei schlechter Backup-Strategie mit hohen Schäden, die zur Insolvenz führen können, aber selbst bei guter Backup-Strategie mit beachtlichen Schäden durch Arbeits- und Produktionsausfälle. 💣

Das Dokument enthält keinen Text, sondern nur eine eingebettete Grafik…

eFax Corporate -- Du hast 1 neue Nachrichten -- Diese Datei wurde mit einer früheren Version von Microsoft Office Word erstellt -- Um diese Datei zu öffnen, klicken Sie auf 'Inhalt aktivieren' im gelben Bereich und danach auf 'Bearbeitung aktivieren'

…die dazu auffordert, dass man die Ausführung von Makros freischalte, um das angebliche Dokument lesen zu können. Wer das macht, hat verloren und führt eine aus dem Internet nachgeladene Software von kriminellen Spammern auf seinem Computer aus. 🙁

Bitte diese Spam einfach unbeklickt löschen und auf gar keinen Fall auf die Idee kommen, derart windig zugestellte Dokumente zu öffnen und dann auch noch Sicherheitseinstellungen zu lockern! Der Müll gehört dahin, wo Müll hingehört! 🗑️

So, nun noch eine immer wieder interessante Frage: Wie gut schützt eigentlich die ganze Sicherheits- und Antivirus-Software vor diesem Angriff? Leider (im Moment) so gut wie gar nicht. Nur rd. zwölf Prozent der gängigen Antivirus- und Schutzprogramme erkennen im Moment diese klare Schadsoftware als eine mögliche Schadsoftware, und das sind keineswegs die Platzhirsche im Geschäft mit der „gefühlten Sicherheit“. 👎

Wer sich auf sein Antivirus-Programm verlassen hat, ist also einmal mehr verlassen. Wer aber darin geübt ist, Spam als Spam zu erkennen und generell ein solides Misstrauen gegen alle Dateien hat, die über E-Mail zugestellt werden, kann gar nicht überrumpelt werden – denn dazu müsste man nicht einfach nur das Dokument aufmachen, sondern auch ein paar sehr dumme Klicks machen. Und dagegen hilft nun einmal diese „natürliche Intelligenz“, die man einfach so kostenlos im Kopfe hat. 🧠

Ich hoffe mal, dass niemand so dumm ist, darauf reinzufallen. Aber ich befürchte leider, dass heute hunderte, wenn nicht tausende von Computern mit dieser Schadsoftware übernommen wurden und dass ich morgen schon erschreckende Meldungen von einer fiesen, zerstörerischen Trojanerwelle lese. ☹️

Kurz verlinkt

Mittwoch, 20. März 2019

Diese Spams sehe ich nicht, weil man sich bei mir nicht um einen Job bewerben kann. Es werden Unternehmen angemailt, die Stellenangebote offen haben. Bitte auf jeden Fall beim LKA Niedersachsen weiterlesen, bevor E-Mail-Bewerbungen geöffnet werden!

Wer hier die Mail, die in der Regel einen einfachen Begrüssungstext [sic!] (zum Teil mit Foto) enthält, bekommt und den beigefügten Anhänge (Word-Datei) unter Windows mit Microsoft Office öffnet, der bekommt mittels Makros Schadsoftware nachgeladen!

Die Bewerbungsmails unterscheiden sich jedoch immer wieder. So sind die einleitenden Worte mal etwas ausführlicher, mal aber auch sehr kurz gehalten. Die Art des Schreibens zeigt kaum bis keine Rechtschreib- und Grammatikfehler.

[…]

Wichtig ist, dass Firmen, Behörden usw., die Stellen ausschreiben, sich der Gefahr der Zusendung dieser gefälschten und gefährlichen Mails bewusst sind und nicht ungeprüft enthaltene Anhänge öffnen. Die Makrofunktion in MS Office oder vergleichbaren Office-Produkten sollte zwingend deaktiviert sein.

Der letzte hier zitierte Absatz sagt alles, was wichtig ist. Makros sind in Dokumenten eingebettete Programme, die innerhalb des Office-Programmes laufen und alles können, was ein Programm unter Microsoft Windows auch kann. Dieses Funktionsmerkmal ist für nicht vertrauenswürdige Dokumente – und kein unsigniertes oder von einem Unbekannten aus dem Internet mit E-Mail zugestelltes Dokument ist jemals vertrauenswürdig – unbedingt abzustellen. Sonst kann man genau so gut eine EXE ausführen, die einer E-Mail angehängt wurde. Ja, es ist wirklich das Gleiche. 🙁

Und Makros sollten nicht erst deaktiviert werden, wenn die Kriminalpolizei warnt, denn dann war es schon für hunderte betroffene Unternehmen schon zu spät. Der angerichtete Schaden kann leicht erheblich werden.