Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.


Schlagwortarchiv „Office“

Faxnachricht [Anrufer-ID: 48-059-680-577] fur gammelfleisch@tamagothi.de

Mittwoch, 18. September 2019

⚠️ Warnung! Gefährliche Schadsoftware! ⚠️

Die Mail geht an die Schrottadresse, und die Empfängeradresse wird noch einmal unnötigerweise im Betreff wiederholt, damit ich auch wirklich daran glaube, dass diese Mail für mich ist. Denn die „Anrufer-ID“ hat ja nix mit mir zu tun, und dass mir Mails gefaxt werden, glaube ich vermutlich erst, nachdem ich zehn Jahre in einer Behörde der Bundesrepublik Deutschland gearbeitet habe, an deren Eingang ein Briefkasten hängt, auf dem „E-Mail bitte hier einwerfen“ steht. 😉

Das muss also mal wieder eine echte Qualitätsspam mit goldenem Prädikat sein. 🏅

Faxnachricht fur gammelfleisch@tamagothi.de

Wir können zwar Mailadressen mit angeblichen Faxen zuballern, aber bekommen keine Umlaute in unsere Spam. Unicode ist so Neunziger Jahre, das haben wir noch nicht gelernt. Wollen wir auch gar nicht. 🐌

Sie haben am Donnerstag, 18.09.2019, ein einseitiges Fax erhalten.

Aber Immerhin: Das Datum stimmt. Das schafft nicht jeder Spammer. Dafür ein kleines Fleißbienchen von mir. 🐝

* die Referenznummer fur dieses Fax ist an efax-49486654106-6639-95477.

Das muss ein wichtiges Fax sein. Es hat eine wichtig aussehende Nummer. Und vor allem…

Bitte laden Sie Microsoft Word-Anhang herunter und betrachten Sie ihn.

…ist es eine Word-Datei und nicht ein PDF. Eine Word-Datei mit Makros drin. Also mit beliebigem Code, der innerhalb von Microsoft Word ausgeführt wird und alles kann, was jedes ausführbare Programm für Microsoft Word auch könnte. Zugestellt von irgendwem. Mit Bullshit-Begründung. 💀

Bitte besuchen Sie www.efax.eu/faq, wenn Sie Fragen zu dieser Nachricht habenoder Ihre Dienstleistung

Das typische Spammerproblem: Die wesentliche Botschaft der Spam ist geschrieben, und schon greift die Hand nach der leckeren Wodkaflasche und sind die Gedanken wieder im Bordell und so schleichen sich kleine, auffällige Fehler wie zusammengeschriebene Wörter oder mitten im Nichts als Sprachruinen verendende Sätze ein. Es ist schon schade, wenn man so ein dummer Krimineller ist, der sich mit seinen hochinfektiösen Spams keine Mühe gibt, weil er ja auch einfach arbeiten gehen könnte, wenn er sich nur Mühe geben wollte. 🧟

efax-49486654106-6639-95477.doc
132KBDownload

Alle Links führen in die Domain efaxcontrol (punkt) efax-office (punkt) xyz, die…

$ whois efax-office.xyz | grep -i ^creation
Creation Date: 2019-09-17T07:59:18.0Z
$ _

…gerade erst gestern für die heutige Spamwelle eingerichtet wurde. Dort kann man dann…

$ file efax-49486654106-6639-95477.doc 
efax-49486654106-6639-95477.doc: Microsoft Word 2007+
$ _

…ein Word-Dokument herunterladen. Es handelt sich also nicht – wie in der Spam behauptet – um einen Anhang, der von vielen Mailservern herausgefiltert würde, um betriebliche Netzwerke vor der Übernahme durch Schadsoftware zu schützen, sondern um einen Download. Von einer Website, die erst gestern eingerichtet wurde. Und die Downloads von angeblichen Faxen anbietet. Als Word-Dokumente. Die beim Öffnen mit LibreOffice erstmal eine unmissverständliche Warnung anzeigen:

Warnung -- Dieses Dokument enthält Makros. -- Makros können Viren enthalten. Die Ausführung dieser Makros wird aufgrund der aktuellen Makrosicherheits-Einstellung unter Extras... Optionen... LibreOffice-Sicherheit unterbunden -- Manche Funktionen stehen daher möglicherweise nicht zur Verfügung. [Ok]

Hier sei zur Verdeutlichung noch einmal der wichtigste Satz aus diesem Dialogfenster wiedergegeben: Makros können Viren enthalten. Das, zusammen mit dem unerfreulichen Kontext, in dem dieses Dokument versendet wurde, sagt hoffentlich alles. Es ist das reinste Gift. Wer die Ausführung von Makros in diesem Dokument zulässt oder ein Office-Programm hat, in dem elementare Sicherheitsfunktionen abgestellt wurden, hat hinterher einen Computer anderer Leute auf seinem Schreibtisch stehen. Im schlimmsten Fall wird ein komplettes Firmennetz mit datenlöschenden Erpressungstrojanern übernommen, bei schlechter Backup-Strategie mit hohen Schäden, die zur Insolvenz führen können, aber selbst bei guter Backup-Strategie mit beachtlichen Schäden durch Arbeits- und Produktionsausfälle. 💣

Das Dokument enthält keinen Text, sondern nur eine eingebettete Grafik…

eFax Corporate -- Du hast 1 neue Nachrichten -- Diese Datei wurde mit einer früheren Version von Microsoft Office Word erstellt -- Um diese Datei zu öffnen, klicken Sie auf 'Inhalt aktivieren' im gelben Bereich und danach auf 'Bearbeitung aktivieren'

…die dazu auffordert, dass man die Ausführung von Makros freischalte, um das angebliche Dokument lesen zu können. Wer das macht, hat verloren und führt eine aus dem Internet nachgeladene Software von kriminellen Spammern auf seinem Computer aus. 🙁

Bitte diese Spam einfach unbeklickt löschen und auf gar keinen Fall auf die Idee kommen, derart windig zugestellte Dokumente zu öffnen und dann auch noch Sicherheitseinstellungen zu lockern! Der Müll gehört dahin, wo Müll hingehört! 🗑️

So, nun noch eine immer wieder interessante Frage: Wie gut schützt eigentlich die ganze Sicherheits- und Antivirus-Software vor diesem Angriff? Leider (im Moment) so gut wie gar nicht. Nur rd. zwölf Prozent der gängigen Antivirus- und Schutzprogramme erkennen im Moment diese klare Schadsoftware als eine mögliche Schadsoftware, und das sind keineswegs die Platzhirsche im Geschäft mit der „gefühlten Sicherheit“. 👎

Wer sich auf sein Antivirus-Programm verlassen hat, ist also einmal mehr verlassen. Wer aber darin geübt ist, Spam als Spam zu erkennen und generell ein solides Misstrauen gegen alle Dateien hat, die über E-Mail zugestellt werden, kann gar nicht überrumpelt werden – denn dazu müsste man nicht einfach nur das Dokument aufmachen, sondern auch ein paar sehr dumme Klicks machen. Und dagegen hilft nun einmal diese „natürliche Intelligenz“, die man einfach so kostenlos im Kopfe hat. 🧠

Ich hoffe mal, dass niemand so dumm ist, darauf reinzufallen. Aber ich befürchte leider, dass heute hunderte, wenn nicht tausende von Computern mit dieser Schadsoftware übernommen wurden und dass ich morgen schon erschreckende Meldungen von einer fiesen, zerstörerischen Trojanerwelle lese. ☹️

Kurz verlinkt

Mittwoch, 20. März 2019

Diese Spams sehe ich nicht, weil man sich bei mir nicht um einen Job bewerben kann. Es werden Unternehmen angemailt, die Stellenangebote offen haben. Bitte auf jeden Fall beim LKA Niedersachsen weiterlesen, bevor E-Mail-Bewerbungen geöffnet werden!

Wer hier die Mail, die in der Regel einen einfachen Begrüssungstext [sic!] (zum Teil mit Foto) enthält, bekommt und den beigefügten Anhänge (Word-Datei) unter Windows mit Microsoft Office öffnet, der bekommt mittels Makros Schadsoftware nachgeladen!

Die Bewerbungsmails unterscheiden sich jedoch immer wieder. So sind die einleitenden Worte mal etwas ausführlicher, mal aber auch sehr kurz gehalten. Die Art des Schreibens zeigt kaum bis keine Rechtschreib- und Grammatikfehler.

[…]

Wichtig ist, dass Firmen, Behörden usw., die Stellen ausschreiben, sich der Gefahr der Zusendung dieser gefälschten und gefährlichen Mails bewusst sind und nicht ungeprüft enthaltene Anhänge öffnen. Die Makrofunktion in MS Office oder vergleichbaren Office-Produkten sollte zwingend deaktiviert sein.

Der letzte hier zitierte Absatz sagt alles, was wichtig ist. Makros sind in Dokumenten eingebettete Programme, die innerhalb des Office-Programmes laufen und alles können, was ein Programm unter Microsoft Windows auch kann. Dieses Funktionsmerkmal ist für nicht vertrauenswürdige Dokumente – und kein unsigniertes oder von einem Unbekannten aus dem Internet mit E-Mail zugestelltes Dokument ist jemals vertrauenswürdig – unbedingt abzustellen. Sonst kann man genau so gut eine EXE ausführen, die einer E-Mail angehängt wurde. Ja, es ist wirklich das Gleiche. 🙁

Und Makros sollten nicht erst deaktiviert werden, wenn die Kriminalpolizei warnt, denn dann war es schon für hunderte betroffene Unternehmen schon zu spät. Der angerichtete Schaden kann leicht erheblich werden.

Gesetzentwurf: 98581108

Mittwoch, 18. Juni 2014

Oha!

Guten Tag,

Wir erinnern Ihnen, dass am 16 Juni 2014 Ihre Schuld 53.31 Euro ist!

Verner Schütt
+49-591-1340-xxx

An der Spam hängt… zum Abwechslung einmal kein ZIP-Archiv mit einer ausführbaren Datei für Microsoft Windows, sondern ein Dokument für Microsoft Word. Ein solches Dokument kann ebenfalls Programmcode enthalten, der beim Öffnen ausgeführt wird, und genau das wird hier der Fall sein. Deshalb öffnet man niemals derartige Mailanhänge.

Es ist aktuelle Schadsoftware, die zurzeit nur von einem Drittel der gängigen Antivirus-Programme erkannt wird. Zum Glück ist es in diesem Fall für einen Menschen sehr einfach, die Mail als Spam zu erkennen und das damit zu machen, was man mit einer Spam macht: Nach kurzem Druck auf die Löschtaste vergessen.

Übrigens, das Öffnen des Dokumentes lohnt sich überhaupt nicht, es enthält keinen Text. Das habe ich natürlich nicht herausbekommen, indem ich es – etwa in OpenOffice – geöffnet hätte, sondern indem ich es gespeichert habe und an meiner Kommandozeile kurz file gasetz_98581108.doc getippt habe¹, was zu folgender Ausgabe führt:

gasetz_98581108.doc: Composite Document File V2 Document, Little Endian, Os: Windows, Version 6.1, Code page: 1251, Author: xN:.GL]ycfB9Md4 [sic!],, Template: Normal.dotm, Last Saved By: xN:.GL]ycfB9Md4,, Revision Number: 1 [sic!], Name of Creating Application: Microsoft Office Word, Total Editing Time: 01:00 [sic!], Create Time/Date: Mon Jun 9 18:38:00 2014, Last Saved Time/Date: Mon Jun 9 18:39:00 2014, Number of Pages: 1, Number of Words: 0 [sic!], Number of Characters: 0 [sic!], Security: 0

Das ist zugegebenermaßen etwas unübersichtlich in der Ausgabe, aber das Wesentliche wird klar. Dieses Dokument wurde von einem Autor mit dem schönen Namen xN:.GL]ycfB9Md4 verfasst (so nennen wir uns ja alle, wenn wir einen Namen bei der Installation eingeben sollen), es handelt sich um die erste Version dieses Dokumentes, er hat daran genau eine Minute lang gesessen (um den Makrocode mit der Schadsoftware einzufügen) und mit dem Tippen von irgendwelchen zum Lesen ermunternden Buchstaben vor dem Speichern dieses Werkes hat sich der Verbrecher gar nicht erst beschäftigt. Denn wenn er sich Mühe geben würde, könnte er auch gleich arbeiten gehen…

Weil ich so lange kein Makrovirus mehr gesehen habe und sie jetzt doch noch einmal zurückzukommen scheinen, lege ich zum Abschluss mal einen fröhlichen Link auf einen mittlerweile fast fünfzehn Jahre alten Text, den Felix von Leitner – besser bekannt als Fefe – anlässlich des E-Mail-Wurms ILOVEYOU verfasst hat. Ich wiederhole: Der Text ist fast fünfzehn Jahre alt – was man auch daran bemerken kann, dass Netscape noch erwähnt wird. Geändert hat sich seitdem nicht viel. Den herzlich formulierten Dank für diese Zustände bitte an den Softwarehersteller ihres Vertrauens senden…

¹Die Zahlen im Dateinamen sind jedesmal anders.