Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.


Schlagwortarchiv „Rechnung“

Rechnung noch offen 26.09.2017 Nummer 74131987

Montag, 2. Oktober 2017

Achtung! Auf keinen Fall den Anhang aufmachen. Er ist das reinste Gift. Echte Mahnungen kommen übrigens mit der Sackpost, nicht mit der Mail.

Von: Ebay GmbH Stellvertretender Rechtsanwalt <service@ebay.de>

Die Mail hat niemals einen Server von eBay gesehen. Der Absender ist gefälscht.

Guten Tag,

Genau mein Name!

unsere Kanzlei wurden heute am 26.09.2017 vom Unternehmen Ebay GmbH beauftragt Ihre finanziellen Interessen in Ihrem Fall zu schützen.

So so, die Kanzlei „eBay GmbH Stellvertretender Rechtsanwalt“ wurde also beauftragt. Manche Menschen wurden von ihren Müttern mit sehr unvorteilhaften Namen bestraft. :D

Wir erwarten die Überweisung bis zum 02.10.2017 auf unser Konto. Können wird bis zum genannten Datum keine Zahlung verbuchen, sehen wir uns gezwungen Ihren Fall an ein Gericht abzugeben. Alle damit verbundenen Kosten werden Sie tragen.

Den Absendern dieser Spam geht es nicht um Geld, das man ihnen überweisen soll. Sonst würden sie auch in die E-Mail reinschreiben…

  1. …um welchen Gesamtbetrag es sich handelt, und
  2. …auf welches Konto dieser Betrag überwiesen werden soll.

Dass sie das nicht tun, liegt nicht am Platzmangel in der Mail. Die völlig sinnlose Angabe einer sittenwidrig kurzen Frist „bis heute“ konnten sie ja auch schreiben. Ein geübter Schreiber des Deutschen würde übrigens bei einer Fristsetzung immer den Monatsnamen ausschreiben, um keinerlei Missverständnisse aufkommen zu lassen.

Wenn die Verfasser dieses einschüchternden Strunztextes wirklich wollten, dass man das scheinbar eingeforderte Geld auch bezahlt, schrieben sie auch nicht, dass man wegen einer Vorgangsnummer 08/15 grundlos Geld bezahlen soll. Sie wollen es aber nicht. Sie wollen nur…

Die detaillierte Kostenaufstellung Nr. 741319877, der Sie alle Einzelpositionen entnehmen können, fügen wir bei.

…dass man einen Anhang öffnet. Dieser Anhang ist…

$ unzip -l 26.09.2017.zip 
Archive:  26.09.2017.zip
  Length      Date    Time    Name
---------  ---------- -----   ----
   487933  2017-10-01 10:25   Rechnung vom 26.09.2017.zip
---------                     -------
   487933                     1 file
$ unzip 26.09.2017.zip 
Archive:  26.09.2017.zip
  inflating: Rechnung vom 26.09.2017.zip
$ unzip -l "Rechnung vom 26.09.2017.zip" 
Archive:  Rechnung vom 26.09.2017.zip
  Length      Date    Time    Name
---------  ---------- -----   ----
   504320  2017-10-01 10:25   26.09.2017 Rechnung.com
---------                     -------
   504320                     1 file
$ _

…ein ZIP-Archiv, in dem ein ZIP-Archiv verpackt wurde, in dem eine ausführbare Datei für Microsoft Windows verpackt wurde. Diese ist ein Programm, das von spammenden Kriminellen mit einer irreführend und alarmierend formulierten Mail zugestellt wurde. Wer dieses Programm auf seinem Computer gestartet hat, hat ein Problem.

Die klare Schadsoftware wird zurzeit nur von einem Drittel der gängigen Antivirus-Schlangenöle erkannt. Wer sich nur darauf verlässt, ist häufig wieder einmal verlassen und „darf“ demnächst bang Banknoten der Europäischen Zentralbank gegen Bitcoin eintauschen und darauf hoffen, dass er wieder an seine von Verbrechern verschlüsselte Festplatte kommt. Dagegen gibt es übrigens auch ein gutes Mittel, das allerdings vorbeugend angewendet werden muss;)

Zum allgemeinen Umgang mit E-Mail-Anhängen empfehle ich, noch einmal das zu lesen, was ich im vorigen Jahr anlässlich einer von Erpressungstrojanern gepwnten Stadtverwaltung schrieb. Kurze Zusammenfassung: Niemals einem E-Mail-Anhang öffnen, der nicht vorher über einen anderen Kanal als E-Mail explizit vereinbart wurde und durchgehend digitale Signaturen nutzen, um den Absender eine E-Mail jenseits jedes vernünftigen Zweifels sicherstellen zu können.

Aufgrund des bestehenden Zahlungsrückstands sind Sie verpflichtet außerdem, die durch unsere Tätigkeit entstandene Kosten von 64,92 Euro zu tragen. Um weitete Kosten auszuschließen, bitten wir Sie den ausstehenden Betrag auf unser Konto zu überweisen. Berücksichtigt wurden alle Buchungseingänge bis zum 25.09.2017.

Jetzt haben die Verbrecher das Wichtigste in ihrem Strunztext geschrieben – nämlich den Vorwand, weshalb der Empfänger eine Schadsoftware starten soll – und die Gedanken sind schon wieder im Bordell, so dass die Konzentration nachlässt und sich eine Menge kleiner Fehler einschleichen. „Sind sie verpflichtet außerdem“ oder „die entstandene Kosten“ würde in keiner echten Vorlage für regelmäßig versendete Mahnungen längere Zeit Bestand haben.

Bei Rückfragen oder Reklamationen erwarten wir eine Kontaktaufnahme innerhalb von drei Werktagen.

Ich kann mir lebhaft vorstellen, wie zurzeit die gefälschte Absenderadresse mit Mails bombadiert wird und auf Seiten eBays Aufwand und Kosten verursacht. Den Verbrechern ist das egal. Die interessieren sich nur für ihr eigenes verbrecherisches Geschäft. Es sind asoziale Spammer.

Mit besten Grüßen

Stellvertretender Rechtsanwalt Oskar Klein

Diese Spam und diese Schadsoftware sind die besten Grüße der Spammer. Bessere haben sie nicht anzubieten. :mrgreen:

Offene Rechnung: Buchung 42628390

Donnerstag, 21. September 2017

Von: Directpay24 GmbH Abrechnung <admin@ebay.com>

Diese Spam hat mit eBay nichts zu tun. Sie wurde über einen angemieteten „Cloud“-Server versendet. Der Absender ist gefälscht.

Sehr geehrter Käufer,

Was habe ich denn gekauft? Und vor allem: Unter welchem Namen habe ich das gekauft. Ich werde ja wohl einen Namen und eine Lieferadresse angegeben haben, sonst käme ja gar nichts bei mir an. Och, habt ihr Spammer zu meiner Mailadresse noch keinen Namen?! Tja, dann klappt es eben nicht mit einer überzeugenden Ansprache des Empfängers.

wir wurden heute am 18.09.2017 vom Unternehmen Directpay24 GmbH gebeten Ihre [sic! Großgeschrieben! Die sprechen mich an!] finanziellen Rechte in Ihrem Fall zu schützen.

Wie, ihr wollt meine Rechte schützen? Und dafür bezahlt jemand anders, bei dem ich angeblich Schulden habe, einfach so Geld an euch? Oder habt ihr bei eurer riesigen Pay-Klitsche mit den achtstelligen Rechnungsnummern mal wieder nicht das Geld für einen richtigen Dolmetscher für eure 08/15-Standardschreiben übrig und formuliert deshalb so missverständlich und falsch?

Wir erwarten die vollständige Zahlung zuzüglich der Zusazgebühren [sic!] bis zum 22.09.2017 auf unser Konto. Können wird [sic!] bis zum genannten Datum keine Zahlung verbuchen, sehen wir uns gezwungen Ihren Mahnbescheid an ein Gericht abzugeben. Sämtliche damit verbundenen Kosten werden Sie tragen.

Wenn ihr wirklich Geld von mir wolltet, statt mich einfach nur dazu überrumpeln zu wollen, dass ich euren vergifteten Anhang öffne, würdet ihr ganz sicher folgende Angaben machen:

  1. Grund für die Forderung (und zwar nicht als Nummer)
  2. Forderungsbetrag
  3. Höhe der „Zusazgebühren“
  4. IBAN für die Überweisung

Aber dann würde ja nahezu jeder Empfänger bemerken, dass eure Mail nichts als alarmierend formulierter Quatsch ist, dessen einziger Zweck es ist…

Eine vollständige Kostenaufstellung Nr. 426283909, der Sie alle Einzelpositionen entnehmen können, fügen wir bei.

…den Empfänger zum Öffnen eines Anhanges aus der Spam zu bringen. Denn allen Bemühungen der Werber um eine weitgehende Enthirnung des Konsumenten zum Trotze wissen die meisten Menschen noch recht genau, was sie gekauft haben.

Wer eine „Rechnung“ schreibt, und nicht mindestens die oben genannten Angaben macht, ist immer ein Spammer. Die Mail kann einfach in den Müll. Es gibt keinen vernünftigen Grund, solche Angaben erst in einem Anhang zu machen, wenn man das Geld auch haben will. Nur, wer das Geld nicht will, drückt sich dermaßen Nichts sagend aus und verweist auf einen Anhang, der geöffnet werden muss.

Der Anhang ist hier ein ZIP-Archiv mit dem Dateinamen 18.09.2017.zip und einer recht wuchtigen Dateigröße von 475 KiB. In diesem ZIP-Archiv…

$ unzip -l 18.09.2017.zip 
Archive:  18.09.2017.zip
  Length      Date    Time    Name
---------  ---------- -----   ----
   487374  2017-09-21 02:11   Rechnung vom 18.09.2017.zip
---------                     -------
   487374                     1 file
$ _

…befindet sich ein weiteres ZIP-Archiv, wenn doppelt ja bekanntlich besser hält und eine kompliziertere Verpackung des kriminellen Sondermülls die Spamfilterung auf Mailservern erschwert. Nun gut…

$ unzip 18.09.2017.zip 
Archive:  18.09.2017.zip
  inflating: Rechnung vom 18.09.2017.zip
$ unzip 'Rechnung vom 18.09.2017.zip' 
Archive:  Rechnung vom 18.09.2017.zip
  inflating: 18.09.2017 Rechnung.com
$ ls -lh *.com
-rw-rw-r-- 1 elias elias 492K Sep 21 02:11 18.09.2017 Rechnung.com
$ file *.com
18.09.2017 Rechnung.com: PE32 executable (GUI) Intel 80386, for MS Windows
$ _

…das Auspacken der doppelt eingepackten Datei führt keineswegs zu einem Dokument, sondern zu einer ausführbaren Datei für Microsoft Windows, die mit gezielten Irreführungen von Kriminellen mit einer Spam zugestellt wurde. Wer auf diese Datei doppelklickt, startet damit ein Programm von Verbrechern. Das ist keine gute Idee. Es ist sogar eine ausgesprochen dumme Idee. Wer wissen will, wie die bessere Idee aussieht, lese bitte einfach noch einmal nach, was ich vor anderthalb Jahren anlässlich des Erpressungstrojaners in der Stadtverwaltung Dettelbach geschrieben habe. Danach einfach den kriminellen Sondermüll löschen und sich den schöneren Dingen am Internet zuwenden!

Bei diesem Anhang handelt es sich nämlich völlig sicher um Schadsoftware. Diese wird allerdings zurzeit nur von rd. einem Fünftel der Antivirus-Programme erkannt. Deshalb ist und bleibt es wichtig, dass man derartige Spam selbst erkennt und löscht, statt darin herumzuklicken.

Aufgrund des andauernden Zahlungsverzug [sic!] sind Sie gezwungen außerdem [sic!], die durch unsere Tätigkeit entstandene Kosten [sic!] von 97,91 Euro zu bezahlen. Um weitete Kosten auszuschließen [sic!], bitten wir Sie den ausstehenden Betrag auf unser Konto [Welches Konto und welcher Gesamtbetrag?] zu überweisen. Berücksichtigt wurden alle Buchungseingänge bis zum 15.09.2017 [sic!].

Aha, die wesentliche Botschaft – machen sie ganz schnell und dringend den Anhang auf – haben die Spammer jetzt rübergebracht, und danach lässt halt die Konzentration ein wenig nach. Deshalb brauche ich eine Sonderschnellüberweisung mit der Zeitmaschine, denn mittlerweile ist schon der 21. September. Aber man kann ja wirklich nicht von den Kriminellen erwarten, dass sie ihre Texte vor dem Absenden einmal kurz überfliegen und allzu peinliche Fehler korrigieren, denn wenn sie sich Mühe geben wollten, dann könnten sie ja einfach arbeiten gehen und brauchten keine Erpressungstrojaner in wehrlose Postfächer zu spammen. Zudem scheint es mir sicher, dass die Absender dieses E-Mülls nicht so gut deutsch können und ihren Text einfach aus einigen anderen Spams zusammengesetzt haben.

Bei Rückfragen oder Reklamationen erwarten wir eine Kontaktaufnahme innerhalb von zwei Werktagen.

Klar doch! Ohne angegebene Kontaktmöglichkeit. Oder soll man einfach die Drecksmail mit ihrem gefälschten Absender beantworten? Der admin@ebay.com wird sich aber sehr über den Kaufmannskram „freuen“, der in Wirklichkeit nur eine Masche ist, um Leuten einen Trojaner unterzujubeln.

Mit verbindlichen Grüßen

Abrechnung Lars Beham

Mit verwünschenden Grüßen!

Spamlektüre Elias Schwerdtfeger

Invoice PIS4710314

Mittwoch, 14. Juni 2017

Oh, ich habe eine Rechnung bekommen? Von wen? Und vor allem: Wofür? Mal schauen, was in der E-Mail drinsteht:

Please find Invoice PIS4710314 attached.

Aha! Es ist eine dieser E-Mails, in deren Text gar nichts steht und deren Anhang alle Fragen beantworten soll – oder anders und so deutlich wie möglich gesagt: Es ist eine Schadsoftware im Anhang.

Der Anhang ist ein ZIP…

$ unzip -l InvoicePIS4710314.zip 
Archive:  InvoicePIS4710314.zip
  Length      Date    Time    Name
---------  ---------- -----   ----
     6670  2017-06-13 11:37   C8DTJJCH.zip
---------                     -------
     6670                     1 file
$ _

…das ein ZIP enthält…

$ unzip InvoicePIS4710314.zip 
Archive:  InvoicePIS4710314.zip
  inflating: C8DTJJCH.zip 
$ unzip -l C8DTJJCH.zip
Archive:  C8DTJJCH.zip
  Length      Date    Time    Name
---------  ---------- -----   ----
    19739  2017-06-13 11:37   C8DTJJCH.wsf
---------                     -------
    19739                     1 file
$ _

…das nicht etwa eine Rechnung in irgendeinem Dokumentformat, sondern ein Windows Script File enthält; ein ausführbares Programm für Microsoft Windows. Dieses Programm wurde in einer E-Mail mit irreführendem Text zugestellt; von ihm wurde behauptet, dass es sich um ein Dokument mit einer Rechnung handele und es ist ausgesprochen kryptisch formuliert, um eine Analyse zu erschweren. Es ist eine ganz klare Schadsoftware. Wer dieses Programm auf einem unter Microsoft Windows laufenden Computer mit einem Doppelklick ausführt, hat in weniger als einer Sekunde einen Computer anderer Leute auf dem Schreibtisch stehen. Ob diese „anderen Leute“ die Festplatte verschlüsseln, den Rechner sperren und Bitcoin für die Entsperrung und Entschlüsselung einfordern, oder ob sie einfach „nur“ heimlich ein paar Trojaner nachinstallieren, die Online-Banking manipulieren, Betrugsgeschäfte durchführen, illegale Pornografie verteilen und Spam versenden, in jedem Fall wird ein Schaden entstehen.

Zurzeit wird diese Version der Schadsoftware nur von rd. der Hälfte der gängigen Antivirus-Programme als Schadsoftware erkannt. Wer sich auf die bequeme „Sicherheit“ durch Antivirus-Programme verlässt, wird von diesem Schlangenöl regelmäßig verlassen und sitzt dann vor einem von Halunken übernommenen und missbrauchten Computer.

Zum Glück ist es aber auch für Menschen ohne technische Kenntnisse möglich, sich vor der Schadsoftware zu schützen, die über E-Mail verteilt wird: Einfach niemals in eine E-Mail klicken, die nicht vorher über einen anderen Kanal als E-Mail ausdrücklich verabredet wurde, und schon ist eine Übernahme des Computers sehr erschwert¹. Es ist das Internet. Da muss man vor dem Klicken kurz das Gehirn einschalten. Antivirus-Programme sind nur eine Ergänzung.

Übrigens: In letzter Zeit sehe ich derartige Schadsoftware-Spam wieder häufiger, nachdem mal für ein paar Monate relative Ruhe war.

¹Die durchgehende Verwendung von digitalen Signaturen, mit denen man den Absender und die unveränderte Mail jenseits jedes vernünftigen Zweifels sicherstellen kann, ist in vielen Fällen eine wertvolle Ergänzung dieses Vorgehens und ebenfalls nicht so aufwändig, dass Laien davon überfordert wären.

Domainregistrierung 2016 / 2017

Mittwoch, 14. September 2016

Bitte auf gar keinen Fall auf diese Spam reinfallen! Sie wird von Spamfiltern (noch) nicht sicher als Spam erkannt.

Von: .DE Deutsche Domain <info31 (at) deutschewebhost (punkt) com>
An: .DE Deutsche Domain <info31 (at) deutschewebhost (punkt) com>

Die Spam ist nicht an den Mailempfänger adressiert, sondern der Empfänger steht unsichtbar im BCC:-Header. Das bedeutet, dass diese Mail an mehrere Empfänger gegangen ist, und es passt gar nicht dazu, dass einer Einzelperson für eine Dienstleistung eine Rechnung zugestellt wurde.

Die Domains in der TLD .de werden übrigens nicht von einer obskuren „DE Deutsche Domain“ verwaltet, sondern von der DENIC eG. Spätestens jetzt ist klar, dass es sich um eine illegale und asoziale Spam handelt, die einfach in die virtuelle Mülltonne geworfen werden kann.

Sehr geehrte Frau / Herr,

Unternehmen, mit denen man einen Vertrag hat, sprechen ihre Kunden namentlich an.

Nachfolgend die Einzelheiten zu der Domainregistrierung für 2016 / 2017.

Für welche Domain? Ich verwalte mehrere. (Und nein, das ist keineswegs ungewöhnlich, sondern ein sehr häufiger Fall.)

Aber wenn der Spammer in seine Spam eine Domain wie tamagothi.de reinschreibt, dann wird sogar noch den naivsten Empfängern seines dummen Textes sofort klar, dass es nichts mit ihnen zu tun hat, dass es vermutlich Spam ist und dass sie die Spam einfach löschen können. Deshalb muss der Spammer – wenn er nicht weitere Daten zu seinem Opfer hat, mit denen er etwas Eindruck von Vertragsverhältnis schindet – anonym formulieren.

Wir hoffen, Sie ausreichend informiert zu haben.

Es soll ja Menschen geben, die sich einfach klar ausdrücken und nicht mehr zu hoffen brauchen, dass es ausreicht. :mrgreen:

Mit freundlichen Grüssen

Der – zugegebenermaßen recht entbehrliche – Buchstabe „ß“ fand sich wohl nicht auf der „deutschen“ Tastatur dieses Spammers.

Birgit Hoffmann

Kundendienst
DE Deutsche Domain
info@deutschedomain.com

Nach diesem grandiosen Abschluss ist gar nichts klar oder ausreichend. Insbesondere weiß niemand, um was zum hackenden Henker es hier eigentlich geht. An der Mail hängt noch ein Anhang, auf den in der Mail kein Bezug genommen wurde; es handelt sich um…

$ ls -lh Rechnung\ 232417.pdf 
-rw-rw-r-- 1 elias elias 1,4M Sep 14 11:29 Rechnung 232417.pdf
$ file Rechnung\ 232417.pdf 
Rechnung 232417.pdf: PDF document, version 1.5
$ _

…ein 1,4 MiB großes PDF-Dokument, das mit seinem Dateinamen den Eindruck erweckt, eine Rechnung zu sein.

Da es sich um eine Spam handelt, kann ich nur strikt davon abraten, das PDF in einem normalen PDF-Viewer oder gar in Adobes Acrobat zu öffnen. PDF-Dokumente können Javascript und eingebettete Inhalte (wie etwa Flash- oder Java-Applets) enthalten, die bei der Darstellung ausgeführt werden, und der Acrobat hat eine erhebliche Sicherheitsgeschichte. Auch, wenn zurzeit kein einziges Antivirus-Schlangenöl in diesem Dokument eine Schadsoftware erkennt, ist es gefährlich, eine solche Datei aus einer Spam zu öffnen.

Eine einfache (aber auch nicht völlig gefahrlose) Möglichkeit, sich das PDF trotzdem anzuschauen, ist es, das PDF in ein Grafikprogramm wie Gimp zu importieren. Dabei werden nur die sichtbaren Bereiche des Dokumentes in ein Bild umgewandelt, es kommt nicht zur Ausführung von eventuell enthaltenem Code. Warum das immer noch ein bisschen gefährlich ist? Nun, die Bibliotheken, mit denen PDFs geparst und in eine Grafik gezeichnet werden, könnten einen frisch gefundenen und noch unbehobenen Fehler enthalten, der von Kriminellen ausgebeutet wird. Wer ganz sicher gehen will, verwendet eine Betriebssysteminstallation in einer virtuellen Maschine.

Nachdem ich so wortreich klar gemacht habe, dass Spam gefährlich ist, ist die Zeit für den Anhang gekommen:

So sieht der Mailanhang aus

„Zahlen sie völlig grundlos an eine Unternehmung, mit der sie keinerlei Vertrag haben und die nicht einmal ihren Namen als Rechnungsempfänger einträgt, 195 Euro, und zwar binnen 14 Tagen“. Die Spammer gehen offenbar davon aus, dass von den mutmaßlich mehrere Millionen Empfängern mindestens ein Promille so dumm sein wird, auf diese Masche reinzufallen – und das wären schon mehrere tausend. Wenn es nur dreitausend sind, so kommt auf dem Konto mit der angegebenen IBAN in den nächsten Tagen mehr als eine halbe Million Euro an – Geld, das sicherlich nicht lange auf diesem Konto liegen bleibt, sondern von einem über Spam angeworbenen „Finanztransferagenten“ schnell abgeholt und weiterbefördert wird, um schließlich von anonym bleibenden Verbrechern für Koks und Nutten verprasst zu werden.

Man kann wirklich etwas Besseres mit den 195 Euro anfangen. Fallen Sie nicht auf diese Spam herein, und sagen Sie anderen Menschen weiter, was es mit dieser Spam auf sich hat! Von den gesparten rd. zweihundert Euro können Sie mir ja zwei Euro spenden, die ich dann für Lakritz, Kaffee, Kuchen, Zigaretten und Domainkosten verprassen werde… ;)

Diese Spam ist ein Zustecksel meines Lesers A.H. Danke!

auftrag nr. 134536339

Montag, 29. August 2016

Vorab: Auf gar keinen Fall den Anhang aufmachen!

Ihre Kundennummer: 4091651

Ah, schön, ich habe eine Nummer.

Auftragsnummer: 134536339

Und das, was ich angeblich beauftragt habe, hat ebenfalls eine fröhliche Ziffernfolge…

Auftragssumme: 13 Eur

…und kostet angeblich Geld. Seltsam, dass ich gar nichts davon weiß.

Liebe Kundin, Lieber Kunde,

Was ich allerdings nicht habe, ist ein Name.

Danke für Ihre Bestellung.

Was mein Auftrag nicht hat, ist ein menschenlesbarer Text neben der schönen, aber für einen Menschen zunächst unverständlichen Ziffernfolge, dem man entnehmen könnte, um was zum hl. Henker es überhaupt geht.

Bitte schauen Sie in den PDF-Anhang für nähere Informationen (klicken Sie doppelt auf das PDF-Dokument).

Um das herauszubekommen, muss ich klick-klick einen Mailanhang öffnen. Damit ich das auch wirklich hinbekomme, sagt mir der Spammer auch noch, wie ich das mache.

Mit freundlichen Grüßen

Ihr Casando-Versand Team
Casando GmbH

Es gibt eine Unternehmung namens Casando, aber die ist nicht für diese gefährliche Spam verantwortlich. Ich möchte dort heute nicht am Telefon sitzen. Dem asozialen Loch von Spammer ist es aber egal, was er anrichtet. Das sieht man ja auch am Anhang…

Hinweis:
Zum Öffnen der PDF-Datei im Anhang benötigen Sie den Acrobat Reader.
Den Gratis-Download des Programms finden Sie unter http://get.adobe.com/de/reader.

…der mitnichten ein PDF-Dokument ist. Es handelt sich um ein ZIP-Archiv, in dem…

$ unzip -l dokument_id1784780765.zip 
Archive:  dokument_id1784780765.zip
  Length      Date    Time    Name
---------  ---------- -----   ----
      468  2016-08-24 06:05   dokument_id1784780765.pdf                                             .vbe
---------                     -------
      468                     1 file
$ _

…eine Datei liegt, deren Name auf .vbe endet. Um diese „Kleinigkeit“ vorm Empfänger zu verstecken, enthält der Name vor der richtigen Extension ganz viele Leerzeichen, so dass zusammen mit dem irreführenden Dateinamen der Eindruck entsteht, es handele sich um ein PDF. Die Extension .vbe steht nicht für ein Dokumentformat. Es ist ein ausführbares Programm für Microsoft Windows, das als Anhang einer irreführend formulierten Spam versendet wird und das seinen wirklichen Dateitypen mit einem Trick verbirgt. Das ist klare Schadsoftware. Wer darauf – ganz so, wie der kriminelle Spammer auffordert – doppelklickt, hat hinterher einen Computer anderer Leute auf dem Schreibtisch stehen. Viele populäre Antivirus-Programme scheitern zurzeit daran, diese Schadsoftware als solche zu erkennen, was bei derartigen Mails leider der Normalfall ist. Deshalb muss man immer sein Gehirn benutzen. Wer sich auf sein Antivirus-Schlangenöl verlässt, lebt sehr gefährlich.

Und deshalb öffnet man niemals einen Mailanhang, der nicht vorher und über einen anderen Kanal als E-Mail explizit verabredet wurde. Näheres zu diesem Thema habe ich hier schon etwas ausführlicher geschrieben. Ich bitte um Beachtung. Und um Verbreitung, denn es gibt immer noch zu viele Menschen, die auf derartige Spams reinfallen und hinterher bang Banknoten der Europäischen Zentralbank gegen Bitcoin eintauschen, um wieder an ihre Korrespondenz, ihre Fotos, ihre Musik, ihre Dokumente, ihre Filme und ihre Sozialkontakte zu kommen.

Übrigens: Wer regelmäßige Datensicherungen macht, braucht sein Geld nicht derartigen Verbrechern zu geben, wenn er doch mal überrumpelt wurde, sondern spielt einfach eine Datensicherung zurück. ;)

Neue Abrechnung Nr. 132090

Freitag, 27. Mai 2016

Von: support (at) sipcall (punkt) ch

Diese Spam hat niemals die Schweiz auch nur gesehen. Mein Exemplar kommt von einer dynamisch vergebenen IP-Adresse eines indischen Zugangsproviders.

Es ist ja auch eine Spam. Da ist der Absender immer gefälscht.

Guten Tag

Gute Nacht!

Im Anhang erhalten Sie die neue Rechnung des vergangenen Monates mit der Abrechnungsnummer 132090.

Nicht einmal den Monat können die Spammer in ihre Spam reinfummeln. Sonst müssten sie ja auch etwas können. Von daher ist es erfreulich, dass im Text der Spam die gleiche Nummer verwendet wird wie im Betreff, denn auch das kriegt nicht jeder Spammer hin.

Und inhaltlich: Rechnung für was? Auf Grundlage welchen Vertrages? Von wann? Mit wem? Das alles kann man nur erfahren, wenn man einen Mailanhang öffnet, der von Spammern unter irreführenden Angaben zugestellt wurde. Was wird das wohl sein? Kleiner Hinweis: Eine Rechnung ist es nicht, aber erfreulich ist es auch nicht.

Ach ja, der Mailanhang. Es ist ein Microsoft-Word-Dokument, das man auf gar keinen Fall in Microsoft Word öffnen sollte. Das „Dokument“ ist völlig leer, enthält aber ausgesprochen kryptisch geschriebene Makros, die beim Öffnen automatisch ausgeführt werden. Das ist Programmcode von Kriminellen. Wer das Ausführen von Makros in Microsoft Office zulässt – standardmäßig ist es zum Glück deaktiviert – hat nach dem Öffnen dieses „Dokumentes“ einen Computer anderer Leute auf dem Schreibtisch stehen. Deshalb lässt man die Ausführung von Office-Makros ja auch abgeschaltet. Es ist gefährlich und für die meisten Menschen völlig unnötig.

Wer sich auf sein Antivirus-Schlangenöl verlässt, ist wieder einmal verlassen. Diese Schadsoftware ist eine ganz aktuelle Brut der Verbrecher, die zurzeit nur von jedem achten Antivirus-Programm erkannt wird.

Deshalb ist es auch so wichtig, Schadsoftware per E-Mail selbst zu erkennen. Jedes Mal, wenn in der Mail objektiv nichts steht, der Inhalt der Mail alarmierend ist (Rechnung, Anwalt, Mahnung, Bestellung, etc.) und man nur aus dem Anhang erfahren kann, um was es eigentlich geht, handelt es sich um eine Spam mit Schadsoftware. Das gilt ausnahmslos. Jeder, der geschäftliche E-Mail schreibt, wird sich im Text der E-Mail unmissverständlich ausdrücken.

Grundsätzlich sollten Mailanhänge von Unbekannten niemals geöffnet werden – und auch, wenn der Absender bekannt ist, sollte man daran denken, dass sich die Absenderadresse einer E-Mail beliebig (und sehr leicht) fälschen lässt und lieber telefonisch nachfragen.

Für eine fristgerechte Bezahlung danken wir Ihnen. Bei Fragen oder Anregungen steht Ihnen unser Kundendienst gerne zur Verfügung.

Was meine Formulierung, dass man „nur aus dem Anhang erfahren kann, um was es eigentlich geht“, bedeutet? Schauen wir doch mal diesen kurzen, eben zititerten Absatz an, in dem mit vielen Worten nichts Wesentliches gesagt wird:

  1. Es gibt einen zu bezahlenden Betrag. Wie hoch dieser ist, wird nicht erwähnt.
  2. Es gibt eine Frist für die Zahlung. Wann diese endet, wird nicht erwähnt.
  3. Es gibt einen Kundendienst. Eine Telefonnummer, Mailadresse oder sonstige Kontaktmöglichkeit wird nicht erwähnt. Weiter unten erfahren wir sogar, dass nicht einmal diese Mail beantwortet werden kann.

So ist Schadsoftware-Mail fast immer aufgebaut: Objektiv steht mit vielen und vorsätzlich einschüchternden und verunsichernden Worten gar nichts drin. Wer dieses momentane Muster der Schadsoftware-Spammer erkennt und davon sofort Zuckungen im Löschfinger bekommt, tut mehr für seine Computersicherheit, als er mit allen wirkungslosen Sicherheits- und Antivirus-Programmen dieser Welt tun könnte.

Freundliche Grüsse
Ihr VoIP Provider

Freundlich wie ein nachgeladener Erpressungstrojaner…

Dies ist eine automatisch generierte Nachricht. Antworten auf diese E-Mail können nicht bearbeitet werden.

In der Tat: Diese Spam wurde von einem Skript automatisch generiert. Und antworten geht nicht.

rechnung tamagothi.de

Freitag, 6. Mai 2016

Aber die Domain ist doch schon bezahlt.

Sehr geehrter Damen und Herren,

Hach, wie gut mein Name wieder getroffen ist… :D

anliegend erhalten Sie die Rechnung für die Veranstaltung mit Herrn Dr. Schmitt vom 02. – 04.05.2016 in unserem Haus.

In welchem Haus? Welche Veranstaltung? Was zum hackenden Henker?

Wer Näheres wissen will, muss einen Mailanhang öffnen. Dieser hat zwar einen Dateinamen, der auf .rtf endet und sieht damit wie ein harmloses Dateiformat, wie ein RTF-Dokument, aus, ist aber in Wirklichkeit

$ file rechn_comerz\(052016\)_7844.rtf 
rechn_comerz(052016)_7844.rtf: Zip archive data, at least v2.0 to extract
$ _

…ein ZIP-Archiv. Was sich der Spammer davon versprochen hat, weiß ich nicht. Vermutlich gibt es Office-Programme, die das dann beim Öffnen entpacken und das darin enthaltene…

$ unzip -l rechn_comerz\(052016\)_7844.rtf 
Archive:  rechn_comerz(052016)_7844.rtf
  Length      Date    Time    Name
---------  ---------- -----   ----
    15003  2016-04-29 04:01   2016INV-APR04041.pdf.js
---------                     -------
    15003                     1 file
$ _

…Javascript-Programm, das mit irreführendem Dateinamen in einer Spam mit alarmierendem Inhalt zugestellt wurde, auch noch ausführen. Vielleicht hilft diese Art der Verpackung sogar dabei, eine Schadsoftware zu verbreiten, die schon von sehr vielen Antivirus-Programmen erkannt wird. Ich weiß es nicht. (Ich kann mir gar nicht vorstellen, das so ein Trick überhaupt funktioniert, aber die bunte Welt von Microsoft Windows war für mich bislang immer für eine böse Überraschung gut.)

Ich weiß nur eins: Wer einen Mailanhang aufmacht, der nicht vorher und über einen anderen Kanal als E-Mail explizit abgesprochen wurde, spielt russisches Roulette mit seinem Computer und lädt die Probleme geradezu ein. Die meiste derzeit umlaufende Schadsoftware sind Erpressungstrojaner. Mit ein paar hundert Euro kann man wahrlich etwas Besseres anfangen, als sie bang in Bitcoin zu tauschen und nach der Bezahlung des Lösegeldes an ein kriminelles Arschloch darauf zu hoffen, dass man danach wieder an seine E-Mail, Korrespondenz, Dokumente, Fotos, Videos, Musik und sonstigen Dinge von persönlichem Wert kommt.

Bitte überweisen Sie den Rechnungsbetrag in Höhe von EUR 374,24 unter Angabe der Rechnungsnummer auf unser Konto bei der Commerzbank.

Damit man den Anhang auch wirklich aufmacht, wird (wie üblich) gesagt, dass man völlig grundlos ein paar hundert Euro bezahlen soll – und wie üblich ohne jede Angabe der Bankverbindung, denn dem Spammer geht es ja nicht um Überweisungen, die für die Polizei verfolgbar wären, sondern darum, dass Leute den Anhang öffnen und sich seine Schadsoftware installieren, damit er sich anonymisierend Lösegelder über Bitcoin abholen kann, ohne diese lästigen Handschellen angelegt zu bekommen.

Bei Fragen stehen wir Ihnen gerne zur Verfügung.

Kontaktdaten werden keine angegeben. Das ist das neue Zur-Verfügung-Stehen. :D

Mit freundlichen Grüßen, Wolfgang Roth

Freundlich wie eine Ohrfeige
Dein Schadsoftware-Spammer

Alexander am Zoo
Lange & Partner oHG / HRA
Tel. + 49 15 18xxxx
Fax: + 49 20 89xxxx
email: info (at) alexanderamzoo (punkt) de
http (doppelpunkt) (doppelslash) www (punkt) alexanderamzoo (punkt) de

Natürlich ist sowohl der Absender der Spam gefälscht, genau so wie diese Daten falsch sind. Diese Spam wurde in Wirklichkeit von einer dynamischen IP-Adresse aus Pakistan versendet; mutmaßlich also von einem Computer, der mit Schadsoftware zum fernsteuerbaren Bot der Kriminellen gemacht wurde. Habe ich eigentlich schon erwähnt, dass der Absender mit seiner Spam Schadsoftware unterbringen will?

Auftragsbestätigung 742223 + Standskizze zur Freigabe

Donnerstag, 17. März 2016

Aber ich habe gar keinen Auftrag gegeben. An niemanden.

Sehr geehrte Frau Kohlmann,

Mein Name stimmt ja fast. Und mein Geschlecht ist auch nur ein bisschen daneben. :D

vielen Dank für Ihre Bestellung.

Was habe ich denn bestellt? Da war wohl wieder kein Platz in der Mail, oder was!

Anbei erhalten Sie unsere Auftragsbestätigung sowie unsere Standskizze zur Freigabe. Bitte gehen Sie bei Freigabe an, für welche Option Sie sich entschieden haben.

Überweisen Sie bitte den auf der Auftragsbestätigung genannten Betrag. Wie von Ihnen gewünscht erfolgt die Zahlung per Vorabüberweisung bevor der Auftrag ausgeführt wird.

Aha, einmal „das Übliche“. In der Spam steht nichts; und um was zum hl. Henker es hier überhaupt geht, kann man nur herausbekommen, indem man einen Anhang in einer Mail von einem unbekannten Absender öffnet, was keine so schlaue Idee ist. Und damit man das auch ja schnell und leicht panisch (also dumm) tut, wird schnell eine Rechnung völlig unbekannter Höhe in die Luft gestellt – und natürlich gibt es da auch nur Informationen drüber, wenn man den Anhang öffnet. Das Mailpapier war leider schon voll, deshalb konnte man in die Mail nichts mehr reinschreiben.

Der Anhang ist ein Dokument für Microsoft Word, das nach den Metaangaben zum Dokument von einem Autor namens павуваыва verfasst wurde. Die völlig klare Schadsoftware wird zurzeit nur von einem einzigen Antivirus-Programm erkannt. Wer dieses (übrigens mit Ausnahme eines automatisch auszuführenden Makros leere) Dokument in Microsoft Word öffnet und die Ausführung von Makros zulässt, hat hinterher einen Computer anderer Leute auf dem Tisch stehen.

Bitte prüfen Sie alle Angaben der Auftragsbestätigung (bitte auch die Lieferanschrift prüfen) und Standskizze. Senden Sie uns bitte eine Kopie der Auftragsbestätigung und Standskizze mit Stempel und Unterschrift sowie des Zahlungsavises per Fax oder eingescannt per eMail zurück, damit der Auftrag gestartet werden kann. Unsere Faxnummer: + 49 (0) 80 84 / 4 13 xx – xxx

In einem Akt der Gnade habe ich die Nummer mal unkenntlich gemacht. Wer immer an dieser Leitung sitzt, wird heute einen Scheißtag haben.

Als Liefertermin wurde von uns die KW 48 eingeplant, damit der Liefertermin eingehalten werden kann, benötigen wir Ihre umgehende Freigabe und Übersendung eines Zahlungsavises.

Aber wir haben doch erst die elfte Kalenderwoche. So eilig kann es ja gar nicht sein… :D

Na ja, warum sollte sich der Spammer bei solchen Details Mühe geben. Wenn er sich Mühe gäbe, brauchte er ja nicht zu spammen und könnte seine Brötchen auf weniger asoziale Weise erwerben.

Bei Fragen stehe ich Ihnen gerne zur Verfügung.

Viele Grüße,

Herbert Fuchs
Kundenbetreuung

fon: +49 (0) 2445 / 64xxx-xxx
fax: +49 (0) 1071 / 86xxx-xxx

Warum sollte so etwas wie eine Telefonnummer innerhalb der Spam auch identisch bleiben? :mrgreen: