Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.


Schlagwortarchiv „PDF“

Dringend unterstützung gesucht!!

Montag, 23. Mai 2016

Aber mit zwei Ausrufezeichen!!

Hallo,

Na, der Name passt doch immer. Vor allem, wenn es um einen…

Bitte lesen Sie die beigefügten Dokument für einen sehr guten Business-Vorschlag und bekommen zu mir zurück..

…Geschäftsvorschlag geht. Das kennen wir ja alle aus dem Geschäftsleben, dass irgendwelchen Unbekannten tolle Vorschläge unterbreitet werden.

Der Spammer ist aus unerfindlichen Gründen der Meinung, dass seine Spam zur Einleitung eines Vorschussbetruges glaubwürdiger wird, wenn man den genretypisch doofen Text nicht in die Mail hineinschreibt, sondern als PDF-Anhang versendet. Wer angesichts der gegenwärtigen Trojanerwellen immer noch nicht begriffen hat, dass man niemals einen E-Mail-Anhang eines Unbekannten öffnet, bekommt so die Chance, auf den Betrug reinzufallen, nachdem er den intellektuellen Offenbarungseid des Spammers gesehen, gelesen und geglaubt hat:

Dr. Phil Naidoo -- Johannesburg: 22/05/2016 -- Johannesburg South Africa -- E-Mail: pxxxxo@hotmail.com -- Fax: +2786 585 xxxx -- Dringend unterstützung gesucht!!! -- Hallo, -- mein Name ist Phil Naidoo, Chefredakteur der ABSA Bank of South Africa. Ich war ein sehr enger Freund von Matthias Berger, Staatsbürger ihres Landes. Matthias Berger arbeitete mit Diamond Mine firma in Botswana zusammen. Am 19 Dezember 2011 verunglückte Matthias Berger mit seiner Familie bei einem Hubschrauberabsturz. Alle Insassen des Hubschrauber starben bei dem Unfall. -- Seit dem haben wir zahlreiche Erkundigungen bei Ihre Botschaft hier in Süd Afrika und Botswana angestellt um Verwandte von Herr Matthias Berger ausfindig zu machen. Leider waren wir bisher erfolglos. -- Nach zahlreichen ergebnisslosen Versuchen Herr Matthias Berger Verwandten ausfindig zu machen, habe ich mich entschieden Ihren Namen /E-mail Addresse übers dasoertliche site ausfindig zu machen, da sie die gleiche Nationalität haben. Ich habe Sie kontaktiert um Ihnen dabei zu assistieren Anspruch auf einen Betrag von 8.2 Millionen US Dollar, hinterlassen von meinem Freund Herr Matthias Berger zu erheben, bevor es von der ABSA Bank of South Africa konfeziert wird . Die ABSA Bank of South Afrika hat mich benachrichtigt das ich einen Verwandten ausfindig machen muss oder das Geld wird innerhalb der nächsten 21 Arbeitstagen konfesziert. In meiner Position als Chefredakteur der ABSA Bank of South Afrika ist es mir Möglich das Geld auf ein gültiges ausländisches Konto zu überweien mit der Sicherung das das Geld komplett sein wird bis ich in Ihr Land komme um das Geld mit Ihnen zu teilen. -- Da es mir seit Vier Jahren nicht gelungen ist Verwandschaft von Herr Matthias Berger ausfindig zu machen, versuche ich Ihr Einverständnis zu bekommen Sie als nächste Verwandten des Verstorbenen zu präsentieren da Sie die gleiche Nationalität haben und somit das Geld zu Ihnen überwiesen werden kann. Wenn Sie an meinen Vorschlag interessiert sind, können wir die Teilungsverhältnisse und Uberweisungsmodalitäten besprechen. Ich besitze alle nötigen Informationen und gesetzlichen Dokumente um Ihre Anspruchsforderung zu unterstützen falls Se sich dazu entscheiden. -- Ich brauche nur Ihre ehrliche Zustimmung zur Zusammenarbeit um uns diese Transaktion zu ermöglichen. Ich garantiere Ihnen das dies nur unter legalen/ gesetzlichen Vorraussetzungen stattfinden wird. -- Bitte kontaktiren Sie mich unter meiner E-mail: pxxxxxxo@hotmail.com oder Fax: +2786 585 xxxx. -- Mit freundlichen Grüssen Dr.Phil Naidoo

Aus diesem lustigen Text – ich habe zum besseren Lesen auch eine 300-dpi-Version zu Flickr hochgeladen – können wir eine Menge lernen. Zum Beispiel, dass südafrikanische Banken Chefredakteure haben. Oder auch, dass man meinen in der Spam nirgends erwähnten Namen und vor allem meine Mailadresse über „dasoertliche site“ findet. Oder dass man in Südafrika zumindest für Unterschriften gar nicht das lateinische Alphabet verwendet. Dass es bei diesen ganzen Banken mit dem ganzen Geld in einem reichen, schönen Land wie Südafrika nirgends einen richtigen Dolmetscher gibt, der auch Deutsch kann, wissen wir ja schon aus früheren Spams zur Einleitung eines Vorschussbetruges. :mrgreen:

MFG
Phil Naidoo

Mit abgekürzter Freundlichkeit
Dein Vorschussbetrugsspammer

Weia, dass diese Nummer immer noch so plump versucht wird! Läuft sie etwa immer noch gut genug?

Benachritigung

Dienstag, 8. März 2016

Schön, heute werde ich wieder reich! :D

Hallo,

Bitte öffnen Sie die Datei für Ihre Nachricht.
Danke

mfg
Susan J. Santo
http://loteria.rtve.es

Aha, hier steht also: Hallo, ich kenne dich nicht (und kürze die „Freundlichkeit“ meiner Grüße auch lieber ab), und um was es geht, kann ich dir in meiner Mail auch nicht sagen, mach also den Anhang auf, um etwas zu erfahren! Wer das tut, obwohl es im Moment eine stinkende Welle von Erpressungstrojanern gibt, die nicht von Antivirus-Software erkannt werden und vor allem über E-Mail-Anhänge verbreitet werden, hat beim Lichtmachen im Gehirnchen schon viel zu lange die Energie eingespart.

Aber dafür gibt es doch wenigstens ein großartig layoutetes Dokument, oder?

Screenshot des angehängten PDFs mit einem lächerlichen Layout

Tja… oder eben nicht. :mrgreen:

Aber wenn man sich mit seinem Vorschussbetrug eh an ganz besonders Dumme wendet, dann kann man seine „Dokumente“ dabei ja auch ganz besonders dumm aussehen lassen.

Unfassbar, wie viel schlechten Vorschussbetrug ich heute im Kasten habe…

GEWINNMITEILUNG

Samstag, 23. Januar 2016

Wie klingt wohl das Deutsch eines Dolmetschers, der von einer staatlichen Lotterie eingestellt wurde, die europaweit Millionengewinne verlost? In einer Spam zur Einleitung eines Vorschussbetruges klingt dieses Deutsch so:

Die oben genannten ANHANG
Anforderungen sind erforderlich.
Gluckwunsche noch
einmal.Herzlichs

Mit freundlichen Grussen

PEDRO SANCHEZ PABLO

HEAD, ONLINE LOTTERY DEPARTMENT
EURO MILLION PROMOTION

Alle Warenzeichen und eingetragenen Warenzeichen sind Eigentum der jeweilige Inhaber.
Copyright © 2010-2016. Alle Rechte vorbehal

Ja, das war die ganze Mail. Und der Anhang (zum Vergrößern Vorschaubild klicken) ist ein PDF-Dokument, das hält, was die Mail versprochen hat – es ist hässlich und dumm:

So sieht das angehängte PDF aus

Darauf fällt doch hoffentlich niemand mehr rein!

Payment Details.

Dienstag, 3. November 2015

Danke, mit Punkt am Ende des Betreffs. Sicheres Spammerkmal, automatisch aussortierter Müll. Bitte so weitermachen, Spammer!

FYI,

I made the payment conforming to the proforma invoice on behalf of our sister company. I am attaching the proof of the payment.

keep me updated as soon as you confirm payment.

Kind Regards
Susanne Sцhngen
Address: West Quarter. Lime Street. N: 4 Apartment 22
Pendik / ISTANBUL
Turkey.
Tel: 0296 310 xxxx
Web: www.yadadanismanlik.com

Aha, ich habe also Geld überwiesen bekommen. Von jemandem, der aus der Türkei kommt, aber beim Mailschreiben die kyrillische Codepage verwendet und deshalb „Sцhngen“ mit Nachnamen heißt. Von jemandem, der eine schnell rausgesuchte Adresse angibt, aber nicht einmal den Namen desjenigen zu sagen weiß, dem da Geld überwiesen wurde. Und alles Nähere zu diesen Nullaussagen mit vielen Worten steht dann im Anhang.

Ihr kennt das Muster.

Der Anhang ist… nein, diesmal kein ZIP-Archiv, sondern ein PDF¹. Das ist das Neue daran.

Und da steht nicht etwa drin, um was es geht, sondern darin steht in grafischer Form eines der beliebtesten Textfragmente der Spammer und Reklameidioten, das ansonsten von lebenden und fühlenden Menschen wegen seines impliziten Unsinns niemals getippt wird:

Screenshot des PDFs: This document is password protected. Click HERE to view file securely.

Click here!

Wer auf diesen (oder einen ähnlich doofen) Text klickt, nur, weil man darauf so fein klicken kann, der lasse alle Hoffnung fahren!

Der Link zum angeblich sicheren Anschauen der Datei geht in die Domain freetoair (punkt) ru, und dort erhält man keineswegs nur die Möglichkeit…

Screenshot der Phishing-Seite für Adobe-IDs

…Kriminellen eine Kombination aus Mailadresse und Passwort zu geben. Zusätzlich läuft im Hintergrund ein beachtlicher und für mich auf die Schnelle² nicht zu analysierender Javascript-Apparat ab:

Screenshot der Quelltext-Ansicht des Firefox mit dem vorsätzlich kryptisch formulierten Javascript aus der vorgeblichen Phishing-Seite

Der „kostenlose Sicherheitstest“, der hier von Kriminellen auf den Webbrowser losgelassen wird (und beim Auffinden einer ausbeutbaren Lücke von einer Übernahme des Computers durch Kriminelle gefolgt wird), wird zurzeit von den meisten Antivirus-Schlangenölen nicht als Bedrohung erkannt.

Wer hingegen schlau ist, sich deshalb nicht auf ein Antivirus-Schlangenöl verlässt und mit einem Browser-Addon wie NoScript dafür sorgt, dass nicht jeder dahergeklickten Website das Privileg eingeräumt wird, Programmcode im Browser auszuführen, ist vor solchen Attacken über den Browser weitgehend geschützt – übrigens auch, wenn diese besser vorgetragen werden als in dieser schlecht gemachten Spam. Etwas mehr darüber, wie man seinen Computer absichert (und warum Antivirus-Schlangenöl dabei – im Gegensatz zu den irreführenden und erlogenen Behauptungen in der Reklame – nicht die größte Rolle spielt) habe ich auf meiner Homepage geschrieben.

¹Ihr wisst ja: auf keinen Fall, niemals und bloß nicht Anhänge aus Spams öffnen! Das bisschen befriedigte Neugierde ist den möglichen Ärger nicht wert. Ich habe dieses PDF übrigens betrachtet, indem ich es in Gimp importiert habe… und selbst das noch auf einem besonders gesicherten System. Generell rate ich davon ab, den Adobe Reader zum Lesen von PDFs zu benutzen. Nehmt bitte lieber ein reines Anzeigeprogramm wie Evince (das ist natürlich mein Favorit), das keinen Code anderer Leute auf eurem Computer ausführt, wenn ihr nur lesen wollt. Praktisch jedes PDF, das mir in die Hände kommt, kann ich mit Evince lesen – die einzige Ausnahme war ein Handbuch, das mir vor etwa fünf Jahren übern Weg gelaufen ist. Zum Glück ist es kein Problem, in so einem Fall einfach den fetten, gefährlichen, überkomplexen und bei Kriminellen für Angriffe äußerst beliebten Adobe Reader zu verwenden…

²Um den ausgesprochen kryptisch gecodeten Wust auf der Seite zu durchsteigen, brauchte ich einige Wochen! In denen ich nichts anderes mache! Das ist ausgefeilte, kriminelle Brut! Darüber hinaus sieht auch das verwendete CSS teilweise verdächtig aus, weil kleine grafische Elemente eine auffallend große, base64-codierte Repräsentation haben, als ob Codeausführung durch Bufferüberläufe in Browsern getriggert werden sollte. Dagegen schützt übrigens nur die ausschließliche Verwendung aktueller Software.

OFFIZIELLE GEWINNBENACHRICHTIGUNG

Samstag, 31. Oktober 2015

Oh, ich bin erfreut! Die Vorschussbetrüger haben mal nachgeguckt, wie man das Wort richtig schreibt, so dass es keine „Benachritigung“ mehr ist. Leider haben sie nicht nachgeguckt…

Sehr geehrte Begьnstigten, Bitte lesen Sie die beigefьgte Gewinnbenachrichtigung, fьllen Sie das Formular aus und senden Sie von fax Ihren Anspruch Rechtsanwalt Dr. Joseph Aragonez . TELL / 0034 632-052-xxx / FAX / 0034 917-903-xxx

…wie man in einer derart kurzen Spam auch noch das Kunststück hinkriegt, dass lustige Punkte über manchen deutschen Vokalen stehen, und so erscheinen da halt fröhliche kyrillische Einsprengsel.

Die „beigefьgte Gewinnbenachrichtigung“ ist ein 211 KiB großes PDF-Dokument¹, dem auch ein typografischer Grobschmecker überdeutlich ansieht, dass der Autor einfach einen anderen Betrugsbrief bearbeitet hat, ohne sich darum zu kümmern, auch die gleichen Schriftarten zu verwenden:

So sieht der Betrugsbrief aus

Für alljene, die wegen eines derartig „überzeugenden“ angehängten Schriebs an einer mies gemachten Spam glauben, dass sie ganz dicke Gewinner seien und die deshalb ganz viel Geld für allerlei Vorleistungen mit Western Union zu anonymen Empfängern senden, gibt es immerhin noch einen Trost in der Trübsal ihres gut abgedunkelten Oberstübchens:

Detail aus dem PDF: Siegel mit dem Text 'El Gordo Money back 100% GURANTEED'.

Dieser Gewinn kommt mit 100%-Geld-zurück-Garantie! :D

¹Es ist grundsätzlich eine dumme und schlechte Idee, Anhänge aus einer Spam zu öffnen. Das bisschen befriedigte Neugierde steht in keinem guten Verhältnis zum möglichen Ärger. Wer nicht weiß, wie man einen besonders gesicherten Computer für diesen Zweck herrichtet – und nein, ein Antivirus-Schlangenöl und eine „Personal Firewall“ sind kein ausreichender Schutz – sollte gar nicht erst darüber nachdenken!

Dear Valued Winner!

Donnerstag, 1. Oktober 2015

Oh, ich werde schon wieder reich! Wer ist es denn diesmal:

Von: Western Union <unionnnnwestiuu88 (at) outlook (punkt) com>

Schade, dass sich „Western Union“ keine eigene Domain leisten kann und seine geschäftlichen und vertraulichen Mails deshalb über eine kostenlos und anonym einzurichtende Adresse bei outlook (punkt) com erledigen muss. Es sind schon harte Zeiten, in denen selbst bei windigen Finanzdienstleistern das Geld knapp wird – und das bisschen verbleibendes Geld wird dann auch noch in Reklamelotterien verlost, von denen niemals jemand etwas in der Reklame liest oder hört, damit sie auch ja keine Reklamewirksamkeit entfalten… :mrgreen:

Und? Wie viel Geld kann ich mir da jetzt abholen?

Open Your Attachment For More Details

Aha, ich sehe: Es war einfach kein Platz mehr in der Mail. Und deshalb hängt ein 1,3 MiB großer Anhang dran, der in „gutem Layout“ mitteilt, was auch in zwei bis drei KiB Text gepasst hätte¹. Da freut sich aber jeder, der über einen Volumentarif seine Mails abholt!

Und, wie sieht es aus, das „gute Layout“? Nun, ich empfehle, spätestens jetzt eventuelle Getränke aus dem Mundraum zu entfernen. :D

So sieht es nämlich aus, das gute Layout des angehängten PDF:

So sieht die 'Gewinnbenachrichtigung' aus

Großartig! Wenn die Spammer es jetzt noch hinkriegten, einen Brief zu layouten, bei dem ich nicht meinen Schluck Kaffee in einem Anfall unwillkürlicher und gebieterischer Heiterkeit wieder auspruste, sich mal von einem Englisch-Anfänger erklären ließen, was der Unterschied zwischen „you‘re“ und „your“ ist, damit ich nicht schon im ersten Satzstummel lesen muss, dass ich ein Gewinnaktenzeichen bin und sich mal mit diesem Technikkram beschäftigen würden, wie man eine Rechtschreibprüfung über sein Elaborat laufen lässt, die solche „kreativen“ Schreibweisen wie „trasfer“ ausmerzt… tja, dann könnte es fast passieren, dass jemand länger als fünf Sekunden nachdenken muss, bevor er diesen Sondermüll zur Einleitung eines Vorschussbetruges ins virtuelle Tönnchen schmeißt.

Weitere Tipps will ich den dummen und geschmacklosen Matschbirnen von Spammern jetzt aber nicht geben… :mrgreen:

¹Grundsätzlich sollten solche Anhänge niemals geöffnet werden. Das bisschen befriedigte Neugierde ist den möglichen Ärger nicht wert. Und nein: Ein so genanntes „Antivirusprogramm“ ist kein Schutz, auf den man sich verlassen kann, denn mit der Spam kommt immer auch die frischeste Brut der Kriminellen, wenns mal Schadsoftware ist. (PDF ist ein gefährliches Format, vor allem, wenn man PDFs mit dem „Acrobat“ liest.) Wer nichts in die Mail schreibt und für alles auf den Anhang verweist, ist entweder ein Vollidiot mit Kaufmannshintergrund, der das leichtverständliche Medium E-Mail nicht verstanden hat, oder ein krimineller Spammer. In beiden Fällen kann bedenkenlos gelöscht werden. Die Lebenszeit ist einfach zu kurz, um sich für die Kommunikation mit geistig minderbemittelten Deppen einem Risiko für die Computersicherheit auszusetzen.

Sie sind ein Gewinner

Montag, 10. August 2015

Wie, schon wieder?

Bitte offnen Sie die Anlage.
Die angehangte Datei ist sicher pdf-Datei.

Dank
Verwaltung

Ja, die angehängte Datei ist sicher eine PDF-Datei, das sehe ich schon an ihrem Namen. Sie enthält den Text mit allen seinen Fehlern, den ich jetzt schon das siebte Jahr in solchen Mails zur Einleitung eines Vorschussbetruges lese. Aber immerhin: Das Layout wurde etwas anders gemacht. Allerdings wurde es nicht besser gemacht:

Layout des PDFs im Anhang

Was sagt man noch zu solchen Ausflüssen der Stümperei, des Nichtskönnertums und der plumpen, ungelenken Dummheit? Am besten nur noch einen kurzen, knappen Abschied.

Dank
Hirn des Lesers

Re: Signed Invoice

Donnerstag, 6. August 2015

Die ist ja kurz!

Dear Sir,
The attached invoice is for FYI.

Best Regards.

So weit, so schlecht. Bei diesem kurz angebundenen Text erwarte ich eine knackige EXE-Datei in einem ZIP-Archiv; aber nein, es handelt sich wirklich um ein PDF. Dieses PDF sieht aber nicht aus wie eine Rechnung, sondern es sieht so aus:

Screenshot eines Teils des PDFs

So sieht zumindest die obere rechte Ecke des PDFs aus. Sie zeigt den Hinweis, dass es eine angehängte Datei gibt (als ob man das nicht in seiner Mailsoftware gesehen hätte), ein übergroßes PDF-Piktogramm und einen klicki klicki Linktext mit „Click here“. Der Link aus dem PDF ist kein direkter Link, sondern wird über einen URL-Kürzungsdienst umgeleitet. Und zwar auf eine Website…

Screenshot der gefährlichen Website

…die so tut, als sei sie Google, die aber in wenig überraschender Weise mit Google…

Detail: Die angezeigte URL in der Adressleiste des Browsers

…so viel zu tun hat wie eine kaputte Glühlampe mit dem hellen, warmen Sonnenlicht. Natürlich muss man Javascript freischalten, um irgendwas auf dieser Website von Kriminellen zu machen, und was man sich dort alles einfangen kann, verrät schon die Spam, der falsche Eindruck, es handele sich um Google und die merkwürdige Art, in der ein Link auf diese Site platziert wurde.

Selbstverständlich wird – neben dem angebotenen Download von Daten, die Kriminelle mit einer Spam untergejubelt haben – auch gleich das Google-Passwort abgefragt und zu diesem Geschmeiß gesendet, wenn man auf „Download“ klickt – aber ich hatte bei dem schönen Wetter heute keine Lust, den Rest der Javascript-Quelltexte zu lesen. Wenn es neben Phishing auch noch eine aktuelle Kollektion Schadsoftware gibt, bin ich davon nicht überrascht.

Was diese Spam interessant macht, obwohl sie in ihrer Machart eher primitiv ist: Die frühere Vorgehensweise mit dem „Dokument im ZIP-Archiv“ scheint für die Verbrecher nicht mehr so erfolgversprechend zu sein – was leider nicht heißt, dass ich solche Spams nicht mehr sähe – und so suchen sie nach neuen Wegen, um Leute zu überrumpeln.

Deshalb: Immer aufmerksam bleiben! Vor allem, wenn Unbekannte „Rechnungen“ oder „Mahnungen“ in Mailanhängen versenden, aber im Text der Mail nichts Substanzielles mitzuteilen haben (weil man sonst sofort bemerken würde, dass es sich um gegenstandslose Behauptungen handelt). So einen Müll einfach löschen und vergessen, es gibt nämlich Schöneres im Internet als Trojaner und sonstige Schadsoftware.